http://releases.ubuntu.com/16.04/MD5SUMS 有 hash,但是不是 https,强行 https 无法访问。
http://cdimage.ubuntu.com 也不支持 https
https://help.ubuntu.com/community/UbuntuHashes ,跳转来跳转去,还是没看到 hash,还是 http 啊。
使用 gpg 来验证看起来还差不多,但 Windows 用户怎么办?
https://help.ubuntu.com/community/VerifyIsoHowto
https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu
debian: https://cdimage.debian.org/debian-cd/current/i386/iso-cd/SHA1SUMS
archlinux: 下载页面写着呢
主要是之前被 isp 劫持过 exe 下载链接,从此患上了 “非 https 恐惧症”。
1
longear 2017-12-18 20:18:59 +08:00
http://cdimage.ubuntu.com 各个发行版 release 目录中有 下面几个文件
SHA1SUMS SHA1SUMS.gpg SHA256SUMS SHA256SUMS.gpg 这几个文件很小,可以托人从其他可靠途径获得,然后就可以验证了。 |
3
CEBBCAT 2017-12-18 20:37:21 +08:00 via Android
我教给你好了,把你算出来的 md5 放到谷歌上去搜,能搜到一版就代表没问题
|
4
imxieke 2017-12-18 20:37:59 +08:00
|
5
autoxbc 2017-12-18 20:43:36 +08:00
楼主这个思路很好的,Ubuntu 的发行没有可信链
|
6
Osk OP |
7
Osk OP @autoxbc 靠 GPG 验证存放 hash 值文件还是没问题的,毕竟说明 gpg key 的页面是 https 的,只是对 windows 用户很不友好
|
9
pq 2017-12-18 21:30:00 +08:00
@autoxbc 嗯,我早说过,在信任链方面,Deb 系真不如 rpm 系的 Fedora/RHEL,看看 Fedora 的: https://getfedora.org/verify
而且人家的软件仓库是从中心到镜像节点的链式 hash 验证加 rpm 的 GPG 签名校验双保险,deb 包则大多根本没有签名,无论是社区化的 Debian,还是公司化的 Ubuntu,默认都是不检查 deb 包的签名的,只能通过一个 InRelease 文件的 GPG 签名,然后通过它的 hash 码来检查 deb 包,感觉比 Fedora 的体系要脆弱多了。。。 |
10
pq 2017-12-18 21:33:22 +08:00
遇到这种没有 https 的 hash 码,我的办法一般是找个几个国外的 https web proxy 同时访问其官网链接,多节点相互印证。http 劫持这种事,基本只发生在没有底线的天朝运营商上。
|
12
AEANWspPmj3FUhDc 2017-12-19 00:30:06 +08:00 via Android
楼主怕不是有被迫害妄想症哦
|
13
xratzh 2017-12-19 00:43:31 +08:00
@ivlioioilvi 上次 linuxmint 官网的 ISO 似乎就被替换了,加了东西。
|
14
Humorce 2017-12-19 00:50:51 +08:00 via iPhone
那么你更新的时候还是要被劫持的。
|