昨日、debianサーバーを次のように更新しました:
apt-get update && apt-get upgrade
いくつかのパッケージがRushで認証されていないというメッセージを受け取りましたが、インストールするためにyesを押しました。今考え直すのは悪い決断でした。誰かがMITMをやっていて、私のサーバーにバックドアをインストールしたとしたらどうでしょうか。結局のところ、debianはリポジトリにSSLを使用していません。
認証なしでインストールされた魔女パッケージを表示するにはどうすればよいですか?思い出せない。この場合にもお勧め
/var/log/apt/history.log
で確認できます。そこでは、ユーザーがシステムにインストールしたパッケージについての情報があります。インストールされたリポジトリからの情報はないと思います。とにかく、あなたは日付でその情報を得ることができます。まさにこれがいつ起こったのか知っていると思います。
それが役に立てば幸い。
その間、SSL/TLSが実際に何をしているのかをよく理解してください。
DebianがリポジトリにSSLを使用している場合、実際に手動でAPTが特定のサーバー証明書の署名のみを信頼するように構成されていなかった場合を除き、1ビットも役に立ちませんでした。それでも、保護されていない場合、そのミラーが危険にさらされます。
さらに、Debianミラーネットワークはrsyncを使用して変更を伝播します。パッケージが変更されないようにするには、本当に保存データ暗号(aptシグネチャ)に依存しています。そのシナリオでは、HTTPSはまったく役に立ちません。
あなたがどれだけ妄想的であるかによって、これは注意が必要です。
Debsumsを使用して、パッケージが予想されるメタデータと一致するチェックサムを確認できます。ただし、システムが危険にさらされている場合、悪意のあるパッケージがパッケージマネージャーを変更して、すべてが正常であることを示す偽のデバッグをインストールする可能性もあります。マルウェアは、システムの実行可能ファイルのすべての種類を変更して自分自身を隠すこともできました。sha1sum、ls、cat、bashなどはすべて、マルウェアの存在を偽るように変更されている可能性があります。彼らはファイルの存在について嘘をついたり、その場でファイルの内容を変更してマルウェアの痕跡をすべて隠したりできます。また、カーネルとブートローダーを変更してファイルの内容を偽るルートキットをインストールした可能性もあります。
ここで確実に検出する唯一の方法は、ハードディスクを切断し、信頼できるマシンからフォレンジックを実行することです。
将来、これを回避する簡単な方法の1つは、2つの個別のコマンドを実行することです。
# apt-get update
# apt-get upgrade
Enterまたはnを押すと「パッケージを認証できません」という警告が表示された場合、安全な場所に戻り、通常は再度更新して(おそらくネットワーク接続または信号が改善されて)エラーが修正されます。
インストールされている可能性のあるものを把握しようとする場合、およびそれが悪意のあるものである場合は、これを学習体験にまでチョークして、最初からやり直すことをお勧めします。
スーパーユーザーとしてログインした場合、不注意な場合の回復不可能な損害を十分に理解する必要があります。