如何检查Ubuntu镜像的来源是否合法

检查 Ubuntu 镜像来源合法性的标准流程

核验 Ubuntu 镜像的合法性，核心是同时验证文件的完整性（未被损坏或篡改）与真实性（确由 Canonical 发布）。推荐做法是使用官方提供的 SHA256SUMS 与 SHA256SUMS.gpg 完成校验与签名验证；必要时再辅以 MD5/SHA1 校验。这样即使 ISO 来自第三方镜像，只要校验文件与签名来自官方，也能确保镜像可信。

操作步骤

• 准备工具
  确保系统已安装命令行工具：sha256sum/md5sum（通常随 coreutils）与 gpg（通常随 gnupg）。在 Windows 10 的 WSL、**macOS（Homebrew）**或任意主流 Linux 发行版均可直接安装或使用包管理器获取。

• 获取校验与签名文件
  在镜像目录（或官方发布目录）同时下载：

  1. SHA256SUMS（各镜像的校验清单）；2) SHA256SUMS.gpg（该清单的 GPG 签名）。这些文件通常与 ISO 一同提供；若 ISO 来自第三方镜像，仍建议从 https://releases.ubuntu.com/< 版本> / 获取同版本的校验与签名文件进行验证。

• 验证签名，建立信任链
  先导入 Ubuntu 镜像签名公钥，再验证 SHA256SUMS 的签名：

  • 导入密钥（示例）
    gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092
  • 验证签名
    gpg --verify SHA256SUMS.gpg SHA256SUMS
    看到 “Good signature” 表示签名有效；若提示 “public key not found”，先按上条命令导入对应公钥。注意：出现 “This key is not certified with a trusted signature” 属正常，表示你尚未对该公钥设置本地信任，不影响签名有效性判断。

• 校验 ISO 文件的哈希值
  签名验证通过后，再核对 ISO 的 SHA256 值：

  • 校验并筛选你的 ISO（假设文件与清单同目录）
    sha256sum -c SHA256SUMS 2> & 1 | grep ‘ubuntu-< 版本> -.*.iso’
  • 或直接查看并比对
    sha256sum ubuntu-< 版本> -< 桌面/服务器> -< 架构> .iso
    输出 “OK” 或与清单中的摘要一致，即表明 ISO 完整且未被篡改。

常见问题与处理

• 签名提示找不到公钥
  使用 --recv-keys 导入缺失的公钥（见上），密钥指纹可在签名无效或首次导入时由 gpg 输出中看到。导入后即可通过验证。

• 第三方镜像站是否可用
  可用，但务必使用官方 SHA256SUMS 与 SHA256SUMS.gpg 进行校验与签名验证；哈希值本身容易被同时替换，只有签名能建立可信链。

• 是否还需要 MD5/SHA1
  SHA256 已足够；MD5/SHA1 仅作补充或兼容旧流程，安全性较弱，不建议单独依赖。

• 旧版本或 EOL 版本如何验证
  对于已停止维护的版本，可使用 http://old-releases.ubuntu.com/releases/ 获取对应版本的 SHA256SUMS 与 SHA256SUMS.gpg 后再按上述流程验证。

安全建议

• 仅从 HTTPS 获取校验与签名文件，避免中间人篡改。
• 校验与签名文件建议直接从 releases.ubuntu.com 获取，即使 ISO 来自国内镜像站。
• 保留验证通过的校验值与签名文件记录，便于审计与复现。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！