Ubuntu 镜像下载的安全性
总体判断
从官方站点 releases.ubuntu.com获取镜像,并在下载后用SHA256 校验与GPG 签名进行验证,通常是安全可靠的;即便 ISO 来自第三方镜像站,只要其对应的SHA256SUMS.gpg签名验证通过,也能确认镜像未被篡改。需要注意的是,部分镜像站可能使用HTTP或不启用HTTPS,因此不应仅依赖镜像站提供的摘要文件,应以官方发布页的签名为准。
安全下载与验证步骤
- 下载镜像与校验文件:从releases.ubuntu.com/<版本>/同时获取ISO、SHA256SUMS与SHA256SUMS.gpg。
- 验证签名:导入 Ubuntu 发布密钥(示例指纹:790B C77A 981E 73F8 38EC F0BB F6E6 A532 F9D3 7F1C),执行
gpg --keyserver keyserver.ubuntu.com --recv-keys 0xF6E6A532F9D37F1C
gpg --verify SHA256SUMS.gpg SHA256SUMS
看到“Good signature”表示哈希清单可信。
- 校验完整性:执行
sha256sum -c SHA256SUMS 2>&1 | grep ‘ubuntu-<版本>-.*iso’
显示“OK”即文件完整。
- 制作启动介质:Windows 可用Rufus,Linux 可用dd;注意选择正确的UEFI/GPT或BIOS/MBR分区方案。
常见风险与规避
- 仅用哈希不够安全:攻击者可能同时替换 ISO 与哈希文件;应先验证SHA256SUMS.gpg的签名,再比对哈希。
- 不要信任第三方摘要页:即便 ISO 来自镜像站,也应回到releases.ubuntu.com获取SHA256SUMS与SHA256SUMS.gpg进行验证。
- 警惕非官方“分享链接”:博客、论坛、网盘等再分发页面并非可信来源,务必回到官方发布页或可信镜像的官方页面。
- 校验环境要安全:避免在公共或不可信终端执行校验与写盘操作。
快速命令清单
- 获取并校验
wget https://releases.ubuntu.com/22.04/SHA256SUMS
wget https://releases.ubuntu.com/22.04/SHA256SUMS.gpg
gpg --keyserver keyserver.ubuntu.com --recv-keys 0xF6E6A532F9D37F1C
gpg --verify SHA256SUMS.gpg SHA256SUMS
sha256sum -c SHA256SUMS 2>&1 | grep ‘ubuntu-22.04.*iso’
- 写盘示例(Linux)
sudo dd if=ubuntu-22.04-desktop-amd64.iso of=/dev/sdX bs=4M status=progress
完成后在 BIOS/UEFI 中设置正确的启动顺序。
