当您以ISO的形式下载大型文件(如Linux发行版)时,应验证它以确保文件已正确下载。
过去,有很多方法来验证文件的真实性。 在最原始的级别,您可以检查文件大小,或者您可以检查文件的创建日期。 您还可以统计ISO或其他存档中的文件数量,或者如果您真的热衷于检查存档中每个文件的大小,日期和内容。
以上建议的范围从无效到完全矫枉过正。
多年来一直使用的一种方法是软件和Linux发行版的开发者通过称为MD5的加密方法提供ISO发送的ISO。 这提供了一个独特的校验和。
这个想法是,作为一个用户,你可以下载ISO,然后运行一个工具,根据该文件创建一个MD5校验和。 返回的校验和应该与位于软件开发人员网站上的校验和相匹配。
本指南将向您展示如何使用Windows和Linux来检查Linux发行版的MD5校验和。
使用MD5校验和下载文件
为了演示如何验证文件的校验和,您需要一个文件,该文件已经有一个MD5校验和供它比较。
大多数Linux发行版为其ISO映像提供SHA或MD5校验和。 一个确实使用验证文件的MD5校验和方法的发行版是Bodhi Linux。
您可以从http://www.bodhilinux.com/下载Bodhi Linux的实时版本。
链接的页面有三个版本可用:
- 标准;
- AppPack发布;
- 旧版本。
对于本指南,我们将展示标准发布版本,因为它是最小的版本,但您可以选择任何您想要的版本。
在下载链接旁边,您将看到一个名为MD5的链接。
这会将MD5校验和下载到您的计算机上。
您可以在记事本中打开文件,内容将如下所示:
ba411cafee2f0f702572369da0b765e2 bodhi-4.1.0-64.iso
使用Windows验证MD5校验和
要验证Linux ISO的MD5校验和或任何其他具有随附MD5校验和的文件,请按照以下说明操作:
- 右键单击开始按钮并选择命令提示符 (Windows 8 / 8.1 / 10)。
- 如果您使用的是Windows 7,请按开始按钮并搜索命令提示符。
- 通过输入cd Downloads (即,您应该位于c:\ users \ yourname \ downloads )来导航到下载文件夹。 你也可以键入cd c:\ users \ yourname \ downloads )。
- 键入以下命令:
certutil -hashfile MD5
例如,要测试Bodhi ISO映像,请运行以下命令,将Bodhi文件名替换为您下载的文件的名称:
certutil -hashfile bodhi-4.1.0-64.iso MD5 - 检查返回的值是否与您从Bodhi网站下载的MD5文件的值相匹配。
- 如果值不匹配,则文件无效,您应该再次下载。
使用Linux验证MD5校验和
要使用Linux验证MD5校验和,请按照以下说明操作:
- 同时按ALT和T打开一个终端窗口。
- 键入cd〜/下载。
- 输入以下命令:
的md5sum
要测试菩提ISO映像,运行以下命令:
md5sum bodhi-4.1.0-64.iso - 运行以下命令以显示先前下载的Bodhi MD5文件的MD5值:
猫菩提-4.1.0-64.iso.md5 - md5sum命令显示的值应与步骤4中使用cat命令显示的文件中的md5相匹配。
- 如果值不匹配,则文件存在问题,您应该再次下载它。
问题
检查文件有效性的md5sum方法只有在您下载软件的站点没有受到影响的情况下才有效。
从理论上讲,当有很多镜子时,它可以很好地工作,因为您可以随时在主网站上进行检查。
但是,如果主站点被黑客攻击并向新下载站点提供链接,并且网站上的校验和发生了变化,那么您基本上被蒙蔽了,无法下载您可能不想使用的内容。
这里是一篇文章,展示如何使用Windows检查文件的md5sum。 本指南提到现在许多其他发行版也使用GPG密钥来验证文件。 这样做更安全,但缺少用于检查GPG密钥的Windows上可用的工具。 Ubuntu使用GPG密钥作为验证ISO映像的手段,您可以在此处找到显示如何执行此操作的链接。
即使没有GPG密钥,MD5校验和也不是保护文件最安全的方法。 现在使用SHA-2算法更为常见。
许多Linux发行版使用SHA-2算法,并验证SHA-2密钥,您需要使用sha224sum,sha256sum,sha384sum和sha512sum等程序。 它们的工作方式与md5sum工具非常相似。