我从https://www.ubuntu.com/download,选择默认的“Ubuntu桌面”选项。
该网站链接页面https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu它给出了如何验证 ubuntu 的说明。
这看起来相当乏味,我想知道从官方网站下载的 ISO 存在问题的可能性有多大。我注意到验证过程本身要求我下载对我来说是新软件,因此在我关闭另一个攻击媒介时,又引入了另一个攻击媒介。
不管怎样,我打算只使用 Live USB,而不是完全安装 Ubuntu。这有什么区别吗?
答案1
是的,值得。
对下载的 ISO 进行 sha256sum/etc 仅需数秒,并且可以确保您未受到 MITM 等攻击。除此之外,如果您遇到了几个位错误并且由于您的下载而需要调试追踪别人不会遇到的错误(例如,您遇到了网络问题并尝试调试;但是网络已被堵塞,因为那几个位错误就是由它造成的...),那么这些秒数可以作为保险,因为您可以将校验和检查视为非常便宜的保险。
需要的软件sha256sum某些东西通常来自其他来源(旧版本,有时甚至是不同的操作系统/发行版),非常小并且对于我们许多/大多数人来说已经存在。
此外,它允许我从本地镜像下载,但因为我抓取了sha256sum来自 Canonical 源;我确信镜像不会玩弄它。同样,非常便宜的保险花费了我大约 3 秒的时间。
答案2
是的强烈推荐您验证了所下载的图像,原因如下:
- 只需几秒钟就可以告诉您文件的完整性是否正确,我的意思是,文件没有损坏。(损坏的常见原因是由于技术原因导致的传输错误,例如@sudodus 评论中的网络连接不稳定。)
- 如果文件已损坏,并且您将此 ISO 映像刻录到 CD/USB 驱动器中,则它将无法工作,或者在安装过程中可能失败,这会导致浪费时间和 CD。
- 您确定您使用的任何类型的 ISO 映像或软件都是官方的 CLEAN 版本,而不是修改版本(可能是由攻击者修改的),请参阅此报告:《看门狗》盗版者遭遇恶意比特币挖矿恶意软件
如果你已经有一个 GNU Linux 发行版,你可以使用md5sum,如果你使用的是 Windows,你可以使用:免費版。
希望能帮助到你。
答案3
是的,但是 Ubuntu 似乎把它弄得比它应有的更难。
最好的情况下,您只需下载 foo.iso 和 foo.iso.sig,然后在导入一次密钥后单击 .sig 文件(或在 .sig 文件的 shell 上使用 gpg)。这需要几秒钟的时间。
Ubuntu 似乎让事情变得更加复杂,因为它强制你检查文件的 sha256 和,而实际上只有文件本身是经过签名的。这对他们来说很方便,但对用户来说却增加了工作量。
另一方面,当文件仅由生成时sha256sum * >SHA256SUMS,您可以使用sha256 -c并获取OK/Bad/Not-Found作为输出进行检查。
答案4
我发现不进行校验和的麻烦。我曾刻录过一张在下载过程中损坏的 ISO 光盘,结果无法启动,或者运行时出现错误。
正如其他人所说,它花费的时间很少。