توثيقتدقيق الحزم مع dpkg - تحقق
dpkg --verify (أو dpkg -V) هي أداة مثيرة للاهتمام لأنها تعرض ملفات النظام التي تم تعديلها (من المحتمل من قبل مهاجم) ، ولكن يجب أخذ هذا الإخراج بحذر. إلى
يقوم بعمله ، يعتمد dpkg على المجموع الاختباري المخزن في قاعدة البيانات الخاصة به والمخزن على القرص الصلب (موجود في / var / lib / dpkg / info /صفقة.md5sums). لذلك ، يقوم المهاجم الشامل بتعديل هذه الملفات بحيث تحتوي على مجاميع اختبارية جديدة للملفات المخربة ، أو يقوم مهاجم متقدم بخرق الحزمة الموجودة على مرآة دبيان الخاصة بك. للحماية من هذه الفئة من الهجوم ، استخدم نظام التحقق من التوقيع الرقمي الخاص بـ APT (انظر القسم 8.3.6، "التحقق من صحة الحزمة أصالة"[الصفحة 202]) للتحقق بشكل صحيح من الحزم.
ما هو ملف للتذكير: تعد بصمة الإصبع قيمة ، وغالبًا ما تكون رقمًا (على الرغم من أنها رقم سداسي عشري بصمة؟ التي تحتوي على نوع من التوقيع لمحتويات الملف. يتم حساب هذا التوقيع باستخدام خوارزمية (يعتبر MD5 أو SHA1 أمثلة معروفة جيدًا) أكثر من ذلك
أو أقل يضمن أنه حتى أصغر تغيير في محتويات الملف سيؤدي إلى تغيير بصمة الإصبع ؛ يُعرف هذا باسم "تأثير الانهيار الجليدي". تعمل البصمة الرقمية البسيطة بعد ذلك بمثابة اختبار حقيقي للتحقق مما إذا كانت محتويات الملف قد تم تغييرها. هذه الخوارزميات ليست قابلة للعكس. بمعنى آخر ، بالنسبة لمعظمهم ، فإن معرفة بصمة الإصبع لا يسمح بالعثور على المحتويات المقابلة. يبدو أن التطورات الحسابية الحديثة تضعف حتمية هذه المبادئ ولكن لم يتم التشكيك في استخدامها حتى الآن ، نظرًا لأن إنشاء محتويات مختلفة تعطي نفس البصمة لا يزال يبدو مهمة صعبة للغاية.
ما هو ملف للتذكير: تعد بصمة الإصبع قيمة ، وغالبًا ما تكون رقمًا (على الرغم من أنها رقم سداسي عشري بصمة؟ التي تحتوي على نوع من التوقيع لمحتويات الملف. يتم حساب هذا التوقيع باستخدام خوارزمية (يعتبر MD5 أو SHA1 أمثلة معروفة جيدًا) أكثر من ذلك
أو أقل يضمن أنه حتى أصغر تغيير في محتويات الملف سيؤدي إلى تغيير بصمة الإصبع ؛ يُعرف هذا باسم "تأثير الانهيار الجليدي". تعمل البصمة الرقمية البسيطة بعد ذلك بمثابة اختبار حقيقي للتحقق مما إذا كانت محتويات الملف قد تم تغييرها. هذه الخوارزميات ليست قابلة للعكس. بمعنى آخر ، بالنسبة لمعظمهم ، فإن معرفة بصمة الإصبع لا يسمح بالعثور على المحتويات المقابلة. يبدو أن التطورات الحسابية الحديثة تضعف حتمية هذه المبادئ ولكن لم يتم التشكيك في استخدامها حتى الآن ، نظرًا لأن إنشاء محتويات مختلفة تعطي نفس البصمة لا يزال يبدو مهمة صعبة للغاية.
الركض دبكج-V سيتحقق من جميع الحزم المثبتة وسيطبع سطرًا لكل ملف يفشل في التحقق. يشير كل حرف إلى اختبار على بعض البيانات الوصفية المحددة. لسوء الحظ، نظام إدارة حزم دبيان لا تخزن البيانات الوصفية اللازمة لمعظم الاختبارات ، وبالتالي ستخرج علامات استفهام لها. في الوقت الحالي فقط اختبار المجموع الاختباري يمكن أن ينتج عنه 5 على الحرف الثالث (عندما يفشل).
# دبكج-V
؟؟ 5 ؟؟؟؟؟؟ /lib/systemd/system/ssh.service
؟؟ 5 ؟؟؟؟؟؟ c /etc/libvirt/qemu/networks/default.xml
؟؟ 5 ؟؟؟؟؟؟ c /etc/lvm/lvm.conf
؟؟ 5 ؟؟؟؟؟؟ ج / الخ / ملح / قائمة
# دبكج-V
؟؟ 5 ؟؟؟؟؟؟ /lib/systemd/system/ssh.service
؟؟ 5 ؟؟؟؟؟؟ c /etc/libvirt/qemu/networks/default.xml
؟؟ 5 ؟؟؟؟؟؟ c /etc/lvm/lvm.conf
؟؟ 5 ؟؟؟؟؟؟ ج / الخ / ملح / قائمة
في المثال أعلاه ، أبلغ dpkg عن تغيير في ملف خدمة SSH أجراه المسؤول على الملف المضغوط بدلاً من استخدام ملف مناسب /etc/systemd/system/ssh.service تجاوز (التي سيتم تخزينها أدناه / الخ مثل أي تغيير في التكوين يجب أن يكون). كما أنه يسرد ملفات تكوين متعددة (تم تحديدها بواسطة الحرف "c" في الحقل الثاني) التي تم تعديلها بشكل شرعي.