FetchLinux如何进行文件校验

FetchLinux场景下的文件校验

一 校验思路与准备

• 校验目标包括：下载的ISO镜像、校验文件（如SHA256SUMS/sha256sum.txt），以及发布者提供的GPG签名文件（.asc/.sig）。
• 获取官方校验信息：在发行版官网下载页找到“Verify your download”或类似入口，下载对应的SHA256校验文件或GPG签名；核对文件名、版本、架构与发布时间一致。
• 基本工具：Linux 常用sha256sum/md5sum；发布者签名用GPG验证；Windows 可用Get-FileHash或CertUtil进行哈希计算。

二 下载后的本地校验步骤

• 计算本地哈希并比对
  • SHA256（推荐）：
    • 计算：sha256sum /path/to/image.iso
    • 批量校验：sha256sum -c SHA256SUMS 或 sha256sum -c sha256sum.txt
  • MD5（兼容性场景）：
    • 计算：md5sum /path/to/file
    • 批量校验：md5sum -c checksums.md5
  • 提示：输出为“OK”表示通过；若不一致，请重新下载并再次校验。
• 使用 GPG 签名校验（更高可信度）
  • 导入发布者公钥：gpg --keyserver keyserver.ubuntu.com --recv-keys <KEY_ID>
  • 可选：核对指纹（gpg --fingerprint <KEY_ID>）
  • 校验签名：gpg --verify file.iso.sig file.iso
  • 成功时显示“Good signature”；若提示“No public key”，需先导入正确公钥。

三 在 FetchLinux 工作流中的落地做法

• 下载镜像后，立即在镜像保存目录执行：sha256sum -c sha256sum.txt（或相应的 SHA256SUMS 文件），确保镜像未被损坏或被篡改。
• 若发行版提供签名文件（.asc/.sig），使用 GPG 进行签名验证，以确认发布者身份与文件完整性。
• 传输完成后（例如使用 FetchLinux 进行批量传输/同步），建议对关键文件或目录生成校验清单并留存，后续用脚本或“sha256sum -c”进行一致性复核，便于审计与追溯。

四 常见问题与处理

• 哈希不匹配
  • 重新下载（优先更换镜像源/网络），再次校验；若仍失败，检查磁盘空间与文件系统健康。
• 批量校验失败提示“找不到文件”
  • 确保校验文件中的相对路径/文件名与实际文件一致，必要时在包含 ISO 的目录中执行校验，或调整校验文件中的路径。
• GPG 提示“No public key”
  • 从发行方渠道或公钥服务器导入正确公钥（如 keyserver.ubuntu.com），再执行 gpg --verify。