web-dev-qa-db-ja.com

読み取り専用DVDから起動するときにDebian / Ubuntuパッケージの整合性を確認しますか?

読み取り専用メディア(Live Linux読み取り専用DVDなど)からDebianベースのLinuxシステムを起動し、Debianの.debチェックサム/署名(?)を使用して、インストールされているファイルが実際にインストールされていることを確認する簡単な方法はありますか?適切に署名されたDebianパッケージから?

言い換えれば、既知のクリーンなLive CDからシステムを起動し、Debianのパッケージ形式を「貧乏人の侵入検知システム」として使用することは可能ですか?

もしそうなら、私はそれについてどうすればいいですか?

debianpackage-managementchecksumsignaturechkrootkit
2
user57725

コマンド debsum はあなたが探しているもののようです。

$ debsums | head -10
/usr/lib/libaccount-plugin-1.0/providers/libaim.so                            OK
/usr/share/accounts/providers/aim.provider                                    OK
/usr/share/accounts/services/aim-im.service                                   OK
/usr/share/doc/account-plugin-aim/copyright                                   OK
/usr/lib/libaccount-plugin-1.0/providers/libfacebook.so                       OK
/usr/share/accounts/providers/facebook.provider                               OK
/usr/share/accounts/services/facebook-im.service                              OK
/usr/share/accounts/services/facebook-microblog.service                       OK
/usr/share/accounts/services/facebook-sharing.service                         OK
/usr/share/doc/account-plugin-facebook/changelog.Debian.gz                    OK

侵入検知の良い方法は?

しかし、私は[〜#〜] not [〜#〜]これを貧弱な人間の侵入検知システムと見なします。このようなことを真剣に考えているのであれば、 Tripwire または [〜#〜] ossec [〜#〜] のようなものを使用します。これらのタイプの機能に依存することは、実際には意図されたものではありません。むしろ、これらは、システムに意図的な変更が加えられていないことを確認するためのものであり、その結果、ファイルが同期しなくなりました。

ハッカーになる可能性のある人は、簡単に「ゲームをプレイ」して、ファイルのチェックサムがローカルに保存されているかオンラインのどこかにあるかをチェックするデータベースを変更できます。

真の侵入検知では、チェックサムのデータベースをオフラインに保ち、チェックを実行したい場合にのみミックスに取り込む必要があり、読み取り専用モードでのみ取り込まれます。

1
slm