验证从官网下载的ISO值得吗？

Question

我从https://www.ubuntu.com/download下载了 ISO ，选择了默认的“Ubuntu 桌面”选项。

该网站链接页面https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu，其中提供了如何验证 ubuntu 的说明。

这看起来很乏味，我想知道从官方网站下载的ISO有问题有多现实。我注意到验证过程本身要求我下载对我来说是新的软件，因此即使我正在关闭另一个攻击向量，也会对我引入另一个攻击向量。

就其价值而言，我计划仅使用 Live USB，而不是完全安装 Ubuntu。这有什么区别吗？

Answer 1

是的，这是值得的。

md5sum/etc 只需要几秒钟就可以下载一个 ISO，它可以确保您不会受到 MITM 等的攻击。除此之外，如果您有一些错误和必要的调试，这些秒是浪费 [小时] 时间的保险追逐没有其他人因您的下载而得到的错误（例如，您有网络问题，因此尝试调试；但网络已被塞满，因为那是少数错误的原因......）将校验和检查视为非常便宜的保险。

md5sum 所需的软件通常来自另一个来源（旧版本，有时甚至是不同的操作系统/发行版），非常小，并且已经存在于我们许多/大多数人中。

此外，它允许我从本地镜像下载，但因为我从 Canonical 源获取了 md5sum；我敢保证镜子没有玩弄它。再次非常便宜的保险，花费了我大约 3 秒的时间。

Answer 2

是的，非常建议您验证下载的图像，以下是一些原因：

• 只需要几秒钟就可以告诉您文件的完整性是否正确，我的意思是，文件没有损坏。（损坏的一个常见原因是由于技术原因而导致的传输错误，例如来自@sudodus 评论的不稳定的互联网连接。）
• 如果文件已损坏，而您将此 ISO 映像刻录到 CD/USB 驱动器中，则它无法工作，或者在安装过程中可能会失败，这将导致时间和 CD 的浪费。
• 您确定您使用的是任何类型 ISO 映像或软件的官方 CLEAN 版本，而不是修改版本（可能是攻击者），请参阅此报告：看门狗海盗受到坏血病比特币挖掘恶意软件的攻击

如果您已经拥有 GNU Linux 发行版，则可以使用md5sum，如果您使用的是 Windows，则可以使用：WinMD5Free。

希望能帮助到你。