當您以ISO的形式下載大型文件(如Linux發行版)時,應驗證它以確保文件已正確下載。
過去,有很多方法來驗證文件的真實性。 在最原始的級別,您可以檢查文件大小,或者您可以檢查文件的創建日期。 您還可以統計ISO或其他存檔中的文件數量,或者如果您真的熱衷於檢查存檔中每個文件的大小,日期和內容。
以上建議的範圍從無效到完全矯枉過正。
多年來一直使用的一種方法是軟件和Linux發行版的開發者通過稱為MD5的加密方法提供ISO發送的ISO。 這提供了一個獨特的校驗和。
這個想法是,作為一個用戶,你可以下載ISO,然後運行一個工具,根據該文件創建一個MD5校驗和。 返回的校驗和應該與位於軟件開發人員網站上的校驗和相匹配。
本指南將向您展示如何使用Windows和Linux來檢查Linux發行版的MD5校驗和。
使用MD5校驗和下載文件
為了演示如何驗證文件的校驗和,您需要一個文件,該文件已經有一個MD5校驗和供它比較。
大多數Linux發行版為其ISO映像提供SHA或MD5校驗和。 一個確實使用驗證文件的MD5校驗和方法的發行版是Bodhi Linux。
您可以從http://www.bodhilinux.com/下載Bodhi Linux的實時版本。
鏈接的頁面有三個版本可用:
- 標準;
- AppPack發布;
- 舊版本。
對於本指南,我們將展示標準發布版本,因為它是最小的版本,但您可以選擇任何您想要的版本。
在下載鏈接旁邊,您將看到一個名為MD5的鏈接。
這會將MD5校驗和下載到您的計算機上。
您可以在記事本中打開文件,內容將如下所示:
ba411cafee2f0f702572369da0b765e2 bodhi-4.1.0-64.iso
使用Windows驗證MD5校驗和
要驗證Linux ISO的MD5校驗和或任何其他具有隨附MD5校驗和的文件,請按照以下說明操作:
- 右鍵單擊開始按鈕並選擇命令提示符 (Windows 8 / 8.1 / 10)。
- 如果您使用的是Windows 7,請按開始按鈕並蒐索命令提示符。
- 通過輸入cd Downloads (即,您應該位於c:\ users \ yourname \ downloads )來導航到下載文件夾。 你也可以鍵入cd c:\ users \ yourname \ downloads )。
- 鍵入以下命令:
certutil -hashfile MD5
例如,要測試Bodhi ISO映像,請運行以下命令,將Bodhi文件名替換為您下載的文件的名稱:
certutil -hashfile bodhi-4.1.0-64.iso MD5 - 檢查返回的值是否與您從Bodhi網站下載的MD5文件的值相匹配。
- 如果值不匹配,則文件無效,您應該再次下載。
使用Linux驗證MD5校驗和
要使用Linux驗證MD5校驗和,請按照以下說明操作:
- 同時按ALT和T打開一個終端窗口。
- 鍵入cd〜/下載。
- 輸入以下命令:
的md5sum
要測試菩提ISO映像,運行以下命令:
md5sum bodhi-4.1.0-64.iso - 運行以下命令以顯示先前下載的Bodhi MD5文件的MD5值:
貓菩提-4.1.0-64.iso.md5 - md5sum命令顯示的值應與步驟4中使用cat命令顯示的文件中的md5相匹配。
- 如果值不匹配,則文件存在問題,您應該再次下載它。
問題
檢查文件有效性的md5sum方法只有在您下載軟件的站點沒有受到影響的情況下才有效。
從理論上講,當有很多鏡子時,它可以很好地工作,因為您可以隨時在主網站上進行檢查。
但是,如果主站點被黑客攻擊並向新下載站點提供鏈接,並且網站上的校驗和發生了變化,那麼您基本上被蒙蔽了,無法下載您可能不想使用的內容。
這裡是一篇文章,展示如何使用Windows檢查文件的md5sum。 本指南提到現在許多其他發行版也使用GPG密鑰來驗證文件。 這樣做更安全,但缺少用於檢查GPG密鑰的Windows上可用的工具。 Ubuntu使用GPG密鑰作為驗證ISO映像的手段,您可以在此處找到顯示如何執行此操作的鏈接。
即使沒有GPG密鑰,MD5校驗和也不是保護文件最安全的方法。 現在使用SHA-2算法更為常見。
許多Linux發行版使用SHA-2算法,並驗證SHA-2密鑰,您需要使用sha224sum,sha256sum,sha384sum和sha512sum等程序。 它們的工作方式與md5sum工具非常相似。