如何判断CentOS镜像是否被篡改

判断 CentOS 镜像是否被篡改的实操流程

一、核心思路

通过加密哈希校验确认镜像未被损坏或被替换（推荐 SHA256/SHA512）。
通过GPG 数字签名验证哈希清单的来源真实性，防止“同时替换 ISO 和哈希文件”的中间人攻击。
旧版本（如 CentOS 7.4）在 vault.centos.org 获取；CentOS Stream 在 mirror.centos.org 获取；尽量使用官方或可信镜像源，并始终从同一目录下载 ISO 与校验文件。

二、操作步骤

获取镜像与校验文件
- CentOS 7.x（已归档）：进入 vault.centos.org/7/7.4.1708/isos/x86_64/，下载所需的 ISO 与同目录下的 sha256sum.txt/sha256sum.txt.asc（或 sha512sum.txt/sha512sum.txt.asc）。
- CentOS Stream：进入 mirror.centos.org/centos//isos/x86_64/，下载 ISO 与 CHECKSUM/CHECKSUM.sig。
校验哈希值
- Linux/macOS：
  - sha256：sha256sum -c sha256sum.txt
  - sha512：sha512sum -c sha512sum.txt
- Windows PowerShell：
  - Get-FileHash -Algorithm SHA256 C:\path\file.iso
- 若输出为“OK”，说明本地哈希与清单一致。
验证 GPG 签名（真实性）
- 导入官方发布密钥（示例）：gpg --keyserver keyserver.ubuntu.com --recv-keys <官方指纹>（CentOS 场景请使用发行方发布的密钥，见下节“密钥与指纹”）。
- 验签：
  - 对于 .asc 签名：gpg --verify sha256sum.txt.asc sha256sum.txt
  - 对于 .sig 签名：gpg --verify CHECKSUM.sig CHECKSUM
- 验签成功且指纹可信后，再结合哈希校验结果，可判定镜像未被篡改。
结果判定
- 哈希校验通过 + GPG 验签通过 = 镜像完整且来源可信。
- 任一失败 = 文件损坏或被篡改，需重新下载并再次验证。

三、常用命令速查

Linux/macOS
- 计算并校验：sha256sum -c sha256sum.txt 或 sha512sum -c sha512sum.txt
- 仅计算：sha256sum your.iso / sha512sum your.iso
Windows
- PowerShell：Get-FileHash -Algorithm SHA256 C:\path\your.iso
- 旧版 CMD：certutil -hashfile C:\path\your.iso SHA256
GPG
- 导入密钥：gpg --keyserver keyserver.ubuntu.com --recv-keys <指纹>
- 验签：gpg --verify file.sig file 或 gpg --verify file.asc file
提示：执行 sha256sum -c 时，请确保 ISO 文件名与校验清单中的条目完全一致（含大小写与路径）。

四、密钥与指纹与常见陷阱

密钥与指纹
- CentOS 7 时代常用 CentOS 7 Signing Key（示例指纹：RPM-GPG-KEY-CentOS-7，请以实际发布页为准）。
- CentOS Stream 的 CHECKSUM 通常由 CentOS CI 自动签名，发行方密钥一般随系统或发布渠道提供；导入后可用 gpg --fingerprint <key-id> 核对指纹。
常见陷阱与规避
- 只信任官方站点或可信镜像的校验文件；避免从论坛、非 HTTPS 页面复制哈希值。
- 不要仅依赖 MD5/SHA1（抗碰撞性弱），优先 SHA256/SHA512。
- 校验与验签应在隔离、可信环境完成，避免命令被劫持。
- 旧版本请到 vault.centos.org；若使用第三方镜像站，务必完成哈希与 GPG 双重校验。

五、进阶建议

批量/自动化验证：在 CI/CD 或运维脚本中先 gpg --verify 再 sha256sum -c，失败即阻断部署。
运行后二次体检（对已装系统）：
- 检查关键可执行文件的 setuid/setgid 是否被异常添加（潜在提权风险）。
- 建立重要系统文件的哈希基线并定期巡检（如 /etc/passwd、/bin/ls、/usr/bin/sudo 等），发现异常即告警。

最新问答