验证安装包是否完整和来源是否被修改，以flume为例，其它步骤都一样。

在下载flume软件时候http://flume.apache.org/download.html，会出现如下命令

% gpg --import KEYS
% gpg --verify apache-flume-1.8.0-src.tar.gz.asc

我本机上没有keys，所以gpg --import KEYS会初始化，接着下载apache-flume-1.8.0-src.tar.gz.asc(http://archive.apache.org/dist/flume/stable/)，执行gpg --verify apache-flume-1.8.0-src.tar.gz.asc

gpg: 于 2017年09月15日 星期五 21时04分39秒 CST 创建的签名，使用 RSA，钥匙号 4199ACFF
gpg: 无法检查签名：没有公钥

导入key,curl -sSL http://www.apache.org/dist/flume/KEYS | gpg --import 结果

gpg: 密钥 901791C2：公钥“Eric Sammer <esammer@apache.org>”已导入
gpg: 密钥 E04CC47D：公钥“Arvind Prabhakar (CODE SIGNING KEY) <arvind@apache.org>”已导入
gpg: 密钥 66F2054B：公钥“Michael Howard Percy (CODE SIGNING KEY) <mpercy@apache.org>”已导入
gpg: 密钥 8E991CC5：公钥“Brock Noland (CODE SIGNING KEY) <brock@apache.org>”已导入
gpg: 密钥 77FFC9AB：公钥“Hari Shreedharan <hshreedharan@apache.org>”已导入
gpg: 密钥 2C79120F：公钥“Johny Rufus John (CODE SIGNING KEY) <jrufus@cloudera.com>”已导入
gpg: 密钥 35EAD82D：公钥“Bessenyei Balázs Donát <bessbd@gmail.com>”已导入
gpg: 密钥 4199ACFF：公钥“Denes Arvay <denes@apache.org>”已导入
gpg: 合计被处理的数量：8
gpg: 已导入：8 (RSA: 8)
gpg: 没有找到任何绝对信任的密钥
[root@hadoop2 flume]# gpg --verify apache-flume-1.8.0-bin.tar.gz.asc
gpg: 于 2017年09月15日 星期五 21时04分39秒 CST 创建的签名，使用 RSA，钥匙号 4199ACFF
gpg: 完好的签名，来自于“Denes Arvay <denes@apache.org>”
gpg: 警告：这把密钥未经受信任的签名认证！
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹： 4CF1 5CF1 525F CE29 F66C 08FA 302C B2A8 4199 ACFF

验证结束