Bisakah dpkg memverifikasi file dari paket yang diinstal?

31

Dengan rpm -qV openssh-serversaya akan mendapatkan daftar file yang sudah berubah dibandingkan dengan default.

~$ rpm -qV openssh-server
S.?....T.  c /etc/ssh/sshd_config
~$ 

Bisakah dpkgdi Ubuntu melakukan hal yang sama?

Sandra
sumber

Jawaban:

21

Saya tidak berpikir begitu, dalam Ubuntu checksum MD5 hanya disimpan untuk file tertentu. Untuk paket tertentu, daftar file yang memiliki checksum dapat ditemukan di

/var/lib/dpkg/info/<package>.md5sums

misalnya

/var/lib/dpkg/info/openssh-server.md5sums

Biasanya ini tidak berisi daftar lengkap file yang telah diinstal oleh paket misalnya openssh-server.md5sums

bb5096cf79a43b479a179c770eae86d8  usr/lib/openssh/sftp-server
42da5b1c2de18ec8ef4f20079a601f28  usr/sbin/sshd
8c5592e0d522fa0f8f55f3c104479ef5  usr/share/lintian/overrides/openssh-server
cfcb67f58bcd1edcaa5a770863e49304  usr/share/man/man5/sshd_config.5.gz
71a51cbb514da3044b277e05a3ceaf0b  usr/share/man/man8/sshd.8.gz
222d4da61fcb3c65b4e6e83944752f20  usr/share/man/man8/sftp-server.8.gz

Anda dapat menggunakan perintah debsums (sudo apt-get install debsums) untuk memeriksa file yang memiliki tanda tangan md5

debsums openssh-server
/usr/lib/openssh/sftp-server                                                  OK
/usr/sbin/sshd                                                                OK
/usr/share/lintian/overrides/openssh-server                                   OK
/usr/share/man/man5/sshd_config.5.gz                                          OK
/usr/share/man/man8/sshd.8.gz                                                 OK
/usr/share/man/man8/sftp-server.8.gz                                          OK
user9517 mendukung GoFundMonica
sumber
Md5sums menghilangkan file konfigurasi (yang ada di / etc) karena Anda diharapkan untuk mengubahnya.
psusi
Ya, file / etc / ssh / sshd_config misalnya dihasilkan oleh skrip. Di bawah CentOS meskipun file konfigurasi default memang memiliki md5sums.
user9517 mendukung GoFundMonica
5
Checksum md5 untuk file config disimpan dalam / var / lib / dpkg / status . "dpkg -V" akan memverifikasi checksum dari semua file di sistem termasuk file conf.
bain
25

Seperti dalam dpkg / 1.17.2, ia mengimplementasikan --verifyopsi, menurut laporan bug debian ini .

Perhatikan ini adalah perubahan yang relatif baru ke dpkg. Date: Thu, 05 Dec 2013 04:56:31 +0100baris dalam paket dpkg v1.17.2 menunjukkan ini.

Berikut adalah deskripsi singkat tentang --verifytindakan yang dikutip dari halaman manual dpkg.

   -V, --verify [package-name...]
          Verifies  the integrity of package-name or all packages if omit‐
          ted, by comparing information from the installed paths with  the
          database metadata.

          The output format is selectable with the --verify-format option,
          which by default uses the rpm format, but that might  change  in
          the  future,  and  as  such programs parsing this command output
          should be explicit about the format they expect.

Jadi, Anda bisa menggunakan sintaksis yang sama seperti yumuntuk melakukan verifikasi, dan mendapatkan hasil dalam format rpm . Sebagai contoh:

dpkg --verify openssh-server

atau cukup gunakan dpkg --verifyuntuk memverifikasi setiap paket tunggal yang diinstal pada sistem Anda.


PS

Berjalan, katakanlah dpkg --verify bash, di mesin saya memberi saya sesuatu seperti ini. (Saya menjalankan dpkg / 1.17.5)

??5?????? c /etc/bash.bashrc
??5?????? c /etc/skel/.bashrc

Tampaknya paket .deb hanya berisi metadata md5sums untuk verifikasi.

pallxk
sumber
apa arti garis-garis ini? ??5?????? c...
rubo77
@ rubo77 Lihat ftp.rpm.org/max-rpm/s1-rpm-verify-output.html untuk format cryptic.
pallxk
OK, jadi ??5??????artinya: MD5 Checksum berbeda dan c = "ini file konfigurasi"
rubo77
Jika Anda hanya menginginkan peringatan dari paket yang dimodifikasi, (bukan file konfigurasi yang dimodifikasi) gunakansudo dpkg -V | grep -v '??5?????? c'
rubo77
4

Ada alat debsums yang bisa Anda periksa.

# apt-cache search debsums
debsums - tool for verification of installed package files against MD5 checksums
Hrvoje Špoljar
sumber
2

Biasanya saya memiliki daftar file yang ingin saya verifikasi.
Jadi, inilah fungsi bash sederhana yang melakukan kurang lebih seperti yang Anda inginkan:

dpkg-verify() {
    exitcode=0
    for file in $*; do
        pkg=`dpkg -S "$file" | cut -d: -f 1`
        hashfile="/var/lib/dpkg/info/$pkg.md5sums"
        if [ -s "$hashfile" ]; then
            rfile=`echo "$file" | cut -d/ -f 2-`
            phash=`grep -E "$rfile\$" "$hashfile" | cut -d\  -f 1`
            hash=`md5sum "$file" | cut -d\  -f 1`
            if [ "$hash" = "$phash" ]; then
                echo "$file: ok"
            else
                echo "$file: CHANGED"
                exitcode=1
            fi
        else
            echo "$file: UNKNOWN"
            exitcode=1
        fi
    done
    return $exitcode
}

Gunakan seperti ini:

dpkg-verify /bin/ls /usr/bin/ld

Output pada lingkungan saya:

/bin/ls: ok
/usr/bin/ld: UNKNOWN

Tentu saja, cukup sederhana untuk menulis alias / skrip yang sama untuk memeriksa file dari paket tertentu.

Magentron
sumber
2

Saya menggunakan perintah ini untuk memeriksa semua paket:
dpkg -l | awk {'print $2'} | xargs | debsums | grep -v 'OK'

Anda harus menginstal paket debsumbs, gawk, dan findutils.

NetVicious
sumber
Saya menambahkan beberapa kesalahan (meskipun sebagai root):debsums: can't open fwupd file /var/lib/polkit-1/localauthority/10-vendor.d/fwupd.pkla (Permission denied) debsums: can't open geoclue-2.0 file /var/lib/polkit-1/localauthority/10-vendor.d/geoclue-2.0.pkla (Permission denied)
rubo77