如何从OS X mac验证来自https://www.ubuntu.com（官方网站）的.iso文件。

Question

如何从OS X mac验证来自https://www.ubuntu.com（官方网站）的.iso文件。

4

一连串的验证问题：

我看到唯一的另一个问题是关于一个通过种子下载的.iso文件。我的来自https://www.ubuntu.com（官方网站）。

我的问题是：

1. 是否真的需要验证它是否来自官方网站？有什么风险吗？ 2. mac上没有`gpg`命令，我可以跳过这一步吗？ 3. 对我的`.iso`文件进行了256校验，与托管在https://www.ubuntu.com/download/how-to-verify上的校验和不匹配... 什么！？ - 重新下载以进行二次确认...

更新/解决方案：

这次我的SHA256和GPG验证结果都正确。

以下是我的一些经验：

下载SHA256文件，而不只是复制粘贴到新文本文件中（这会损坏`gpg`的输出）。

我使用 curl -O http://releases.ubuntu.com/16.04/SHA256SUMS 命令通过终端下载。

你只需要下载 SHA256SUMS 和 SHA256SUMS.gpg 文件，而不是 MD5 和 SHA1 等文件。

然后按照这里的步骤进行操作：https://www.ubuntu.com/download/how-to-verify（如果你在 Mac 上没有安装 gpg，请获取 Homebrew 包管理器并运行 brew install gnupg）。

- Kellen Stuart

如果您自己解决了问题，请回答您自己的问题并接受它。不要把答案放在您的问题或评论中！如果您想要我的赞同，请在评论中给我留言。 :-) - David Foerster

2个回答

4

回答问题：

1. 我真的需要验证它是否来自官方网站吗？有什么风险吗？ - 你需要这样做，以免获取到已经被篡改的副本，从而使某个人或某个组织能够访问你的系统和信息。

2. 在Mac上没有gpg命令，我可以跳过这一步吗？ - 是的，你可以使用替代方法来完成。

3. 对我的.iso文件进行了256位校验和，与https://www.ubuntu.com/download/how-to-verify上托管的校验和不匹配... 怎么会这样？重新下载以进行双重检查... - 请确保你严格按照那里的说明进行操作，并且还有其他许多因素可能导致这种情况。但是如果在此之后你仍然不放心，我想支持部门应该会很有帮助。

- George Udosen

我猜我应该问一下，我能不能安全地跳过那一步？ - Kellen Stuart

+1 不管怎样，对我也很有帮助 - Kellen Stuart

@KolobCanyon 我猜如果它坏了，他们总是说要比较校验和。我从来没有这样做过... - WinEunuuchs2Unix

@WinEunuuchs2Unix 我很少检查自己，通常通过“https”验证网站或在线口碑来确认。 - George Udosen

@George 我只是懒得在意病毒、恶意软件和国家安全局 :) - WinEunuuchs2Unix

- muru · Accepted Answer

7

我真的需要验证它是否来自官方网站吗？有什么风险？

嗯，不知道你是否注意到，http://releases.ubuntu.com/ 不是 HTTPS。你可能已经从一个冒充的网页上轻松下载了。然而，使用 PGP 签名可以让你验证文件是否正确并来自 Ubuntu 团队。

在 Mac 上没有 gpg 命令，我能跳过这一步吗？

安装 Homebrew：http://brewformulas.org/Gnupg。没有 Homebrew 或类似工具的 Mac 生活是什么样子？

我对我的 .iso 文件进行了 256 校验和，但它与托管的校验和不匹配...

很难说 - 文件是否完全下载？它是否以某种方式损坏？

请注意，Ubuntu 提供官方种子 - 考虑使用这些种子进行可靠的下载。

- muru

HTTP 上的签名也不是吗？http://releases.ubuntu.com/16.04/ - Kellen Stuart

是的，但他们无法伪造用于签署签名的私钥。 - muru

谢谢回复！brew install非常有帮助。 - Kellen Stuart

1没有Homebrew的OS X就像没有Stack Exchange的生活一样，绝对是毫无希望的！ - Chris Cirefice

@ChrisCirefice 我喜欢自制软件。对于软件包管理器，让我担心的是如何信任软件仓库。我知道apt-get会经过人工审核；但似乎你可以轻易地悄悄加入恶意软件或垃圾文件，我一直很好奇如何保护自己免受此类威胁，以及仓库管理员是如何防范这种情况的。 - Kellen Stuart

@KolobCanyon 你在谈论信任的对象是谁？Linux软件包维护者还是Homebrew软件包维护者？ - muru

@KolobCanyon 在我看来，“标准”软件包（默认情况下包含在Homebrew中）实际上是Homebrew核心Git存储库中的Ruby脚本。由于它是开源的，它会在被包含之前由存储库的合作者进行审核，并且完全公开，因此很难偷偷搞鬼。然而，软件维护者同样可以轻松编写与Homebrew配合使用的脚本，但您（用户）必须手动调用自定义脚本进行安装。 - Chris Cirefice

@muru 问了关于所有软件包管理器的问题，但我知道homebrew和apt-get是两个独立的实体。我猜apt-get是Canonical的，而Christ说homebrew是开源的。 - Kellen Stuart

@KolobCanyon apt-get也是开源的（它来自Debian）。嗯，你可以像对待任何软件供应商一样信任它们- 你可以检查Ubuntu中每个软件包的打包代码，就像你可以检查homebrew一样，但是你怎么知道实际构建软件包的服务器上使用的是什么？你不知道，所以除非你喜欢自己构建所有这些软件包，否则我想你可以信任它们。 - muru

@muru 真实地展示了我们对这类事情有多少信任。 - Kellen Stuart