验证下载的版本

有很多机制可以检查下载的发行版的真实性和有效性。

获取密钥

为了实现GPG签名验证,你需要下载 密钥 文件。

下一步需要导入这些密钥,你可以运行如下命令:

  1. # gpg --import KEYS

GPG

CloudStack项目提供了发行版的分离GPG签名。运行如下命令检查签名:

  1. $ gpg --verify apache-cloudstack-4.3.0-src.tar.bz2.asc

如果签名是有效的,你会看到一行包含“Good signature”的信息。

MD5

除了加密签名,CloudStack还提供了MD5校验和,用于验证下载的发行版。您可以通过执行下面的命令验证这个哈希值:

  1. $ gpg --print-md MD5 apache-cloudstack-4.3.0-src.tar.bz2 | diff - apache-cloudstack-4.3.0-src.tar.bz2.md5

如果成功完成,你应该看不到任何输出。如果有任何输出,则说明你本地生成的哈希值与服务器上获取的是不同的。

SHA512

除了MD5校验和,CloudStack还提供了SHA512加密哈希,用于验证下载的发行版。您可以通过执行下面的命令验证这个哈希值:

  1. $ gpg --print-md SHA512 apache-cloudstack-4.3.0-src.tar.bz2 | diff - apache-cloudstack-4.3.0-src.tar.bz2.sha

如果命令成功完成,你应该看不到任何输出。如果有任何输出,则说明你本地生成的哈希值与服务器上获取的不同。