Czy dpkg może weryfikować pliki z zainstalowanego pakietu?

31

Dzięki rpm -qV openssh-serverotrzymam listę plików, które zmieniły się w porównaniu do domyślnych.

~$ rpm -qV openssh-server
S.?....T.  c /etc/ssh/sshd_config
~$ 

Czy dpkgna Ubuntu można zrobić to samo?

Sandra
źródło

Odpowiedzi:

21

Nie sądzę, aby w Ubuntu md5 sumy kontrolne były przechowywane tylko dla niektórych plików. Dla każdego pakietu można znaleźć listę plików z sumami kontrolnymi

/var/lib/dpkg/info/<package>.md5sums

na przykład

/var/lib/dpkg/info/openssh-server.md5sums

Zazwyczaj nie zawierają one pełnej listy plików zainstalowanych przez pakiet, np. Openssh-server.md5sums

bb5096cf79a43b479a179c770eae86d8  usr/lib/openssh/sftp-server
42da5b1c2de18ec8ef4f20079a601f28  usr/sbin/sshd
8c5592e0d522fa0f8f55f3c104479ef5  usr/share/lintian/overrides/openssh-server
cfcb67f58bcd1edcaa5a770863e49304  usr/share/man/man5/sshd_config.5.gz
71a51cbb514da3044b277e05a3ceaf0b  usr/share/man/man8/sshd.8.gz
222d4da61fcb3c65b4e6e83944752f20  usr/share/man/man8/sftp-server.8.gz

Możesz użyć polecenia debsums (sudo apt-get install debsums), aby sprawdzić pliki, które mają podpisy md5

debsums openssh-server
/usr/lib/openssh/sftp-server                                                  OK
/usr/sbin/sshd                                                                OK
/usr/share/lintian/overrides/openssh-server                                   OK
/usr/share/man/man5/sshd_config.5.gz                                          OK
/usr/share/man/man8/sshd.8.gz                                                 OK
/usr/share/man/man8/sftp-server.8.gz                                          OK
user9517 obsługuje GoFundMonica
źródło
Pliki md5sums pomijają pliki konfiguracyjne (te w / etc), ponieważ oczekuje się, że je zmienisz.
psusi
Tak, na przykład plik / etc / ssh / sshd_config jest generowany przez skrypt. Jednak w CentOS domyślne pliki konfiguracyjne mają sumy md5.
user9517 obsługuje GoFundMonica 18.10.11
5
Sumy kontrolne md5 dla plików konfiguracyjnych są przechowywane w / var / lib / dpkg / status . „dpkg -V” zweryfikuje sumy kontrolne wszystkich plików w systemie, w tym plików conf.
bain
25

Podobnie jak w dpkg / 1.17.2, implementuje --verifyopcję, zgodnie z tym raportem błędu debiana .

Uwaga: jest to stosunkowo nowa zmiana w dpkg. Date: Thu, 05 Dec 2013 04:56:31 +0100pokazuje to wiersz w pakiecie dpkg v1.17.2.

Oto krótki opis --verifyakcji cytowany ze strony podręcznika dpkg.

   -V, --verify [package-name...]
          Verifies  the integrity of package-name or all packages if omit‐
          ted, by comparing information from the installed paths with  the
          database metadata.

          The output format is selectable with the --verify-format option,
          which by default uses the rpm format, but that might  change  in
          the  future,  and  as  such programs parsing this command output
          should be explicit about the format they expect.

Możesz więc użyć podobnej składni jak w yumcelu wykonania weryfikacji i uzyskania wyników w formacie rpm . Na przykład:

dpkg --verify openssh-server

lub po prostu użyj dpkg --verifydo weryfikacji każdego pojedynczego pakietu zainstalowanego w twoim systemie.


PS

Uruchomienie, powiedzmy dpkg --verify bash, na mojej maszynie dało mi coś takiego. (Używam dpkg / 1.17.5)

??5?????? c /etc/bash.bashrc
??5?????? c /etc/skel/.bashrc

Wygląda na to, że pakiety .deb zawierają tylko metadane md5sums do weryfikacji.

pallxk
źródło
co oznaczają te linie? ??5?????? c...
rubo77
@ rubo77 Zobacz ftp.rpm.org/max-rpm/s1-rpm-verify-output.html dla formatu tajemniczego.
pallxk
OK, więc ??5??????oznacza: suma kontrolna MD5 była inna, a c = „to plik konfiguracyjny”
rubo77,
Jeśli chcesz tylko ostrzeżenia o zmodyfikowanych pakietach (nie modyfikuj plików konfiguracyjnych) użyjsudo dpkg -V | grep -v '??5?????? c'
rubo77
4

Istnieją sumy narzędzi, które możesz sprawdzić.

# apt-cache search debsums
debsums - tool for verification of installed package files against MD5 checksums
Hrvoje Špoljar
źródło
2

Zwykle mam listę plików, które chcę zweryfikować.
Oto prosta funkcja bash, która robi mniej więcej to, co chcesz:

dpkg-verify() {
    exitcode=0
    for file in $*; do
        pkg=`dpkg -S "$file" | cut -d: -f 1`
        hashfile="/var/lib/dpkg/info/$pkg.md5sums"
        if [ -s "$hashfile" ]; then
            rfile=`echo "$file" | cut -d/ -f 2-`
            phash=`grep -E "$rfile\$" "$hashfile" | cut -d\  -f 1`
            hash=`md5sum "$file" | cut -d\  -f 1`
            if [ "$hash" = "$phash" ]; then
                echo "$file: ok"
            else
                echo "$file: CHANGED"
                exitcode=1
            fi
        else
            echo "$file: UNKNOWN"
            exitcode=1
        fi
    done
    return $exitcode
}

Użyj w ten sposób:

dpkg-verify /bin/ls /usr/bin/ld

Dane wyjściowe w moim środowisku:

/bin/ls: ok
/usr/bin/ld: UNKNOWN

Oczywiście napisanie podobnego aliasu / skryptu powinno być dość proste, aby sprawdzić pliki z określonego pakietu.

Magentron
źródło
2

Używam tego polecenia, aby sprawdzić wszystkie pakiety:
dpkg -l | awk {'print $2'} | xargs | debsums | grep -v 'OK'

Powinieneś zainstalować pakiety debsumbs, gawk i findutils.

NetVicious
źródło
Dodam kilka błędów (choć jako root):debsums: can't open fwupd file /var/lib/polkit-1/localauthority/10-vendor.d/fwupd.pkla (Permission denied) debsums: can't open geoclue-2.0 file /var/lib/polkit-1/localauthority/10-vendor.d/geoclue-2.0.pkla (Permission denied)
rubo77