読み取り専用メディア(Live Linux読み取り専用DVDなど)からDebianベースのLinuxシステムを起動し、Debianの.debチェックサム/署名(?)を使用して、インストールされているファイルが実際にインストールされていることを確認する簡単な方法はありますか?適切に署名されたDebianパッケージから?
言い換えれば、既知のクリーンなLive CDからシステムを起動し、Debianのパッケージ形式を「貧乏人の侵入検知システム」として使用することは可能ですか?
もしそうなら、私はそれについてどうすればいいですか?
コマンド debsum
はあなたが探しているもののようです。
$ debsums | head -10
/usr/lib/libaccount-plugin-1.0/providers/libaim.so OK
/usr/share/accounts/providers/aim.provider OK
/usr/share/accounts/services/aim-im.service OK
/usr/share/doc/account-plugin-aim/copyright OK
/usr/lib/libaccount-plugin-1.0/providers/libfacebook.so OK
/usr/share/accounts/providers/facebook.provider OK
/usr/share/accounts/services/facebook-im.service OK
/usr/share/accounts/services/facebook-microblog.service OK
/usr/share/accounts/services/facebook-sharing.service OK
/usr/share/doc/account-plugin-facebook/changelog.Debian.gz OK
しかし、私は[〜#〜] not [〜#〜]これを貧弱な人間の侵入検知システムと見なします。このようなことを真剣に考えているのであれば、 Tripwire または [〜#〜] ossec [〜#〜] のようなものを使用します。これらのタイプの機能に依存することは、実際には意図されたものではありません。むしろ、これらは、システムに意図的な変更が加えられていないことを確認するためのものであり、その結果、ファイルが同期しなくなりました。
ハッカーになる可能性のある人は、簡単に「ゲームをプレイ」して、ファイルのチェックサムがローカルに保存されているかオンラインのどこかにあるかをチェックするデータベースを変更できます。
真の侵入検知では、チェックサムのデータベースをオフラインに保ち、チェックを実行したい場合にのみミックスに取り込む必要があり、読み取り専用モードでのみ取り込まれます。