Dokumentasi<Sebelumnya | Konten | Selanjutnya>
Paket Audit dengan dpkg --verifikasi
dpkg --verify (atau dpkg -V) adalah alat yang menarik karena menampilkan file sistem yang telah dimodifikasi (berpotensi oleh penyerang), tetapi output ini harus diambil dengan sebutir garam. Ke
melakukan tugasnya, dpkg bergantung pada checksum yang disimpan dalam databasenya sendiri yang disimpan di hard disk (ditemukan di /var/lib/dpkg/info/paket.md5sums). Oleh karena itu, penyerang menyeluruh akan memodifikasi file-file ini sehingga berisi checksum baru untuk file yang disubvert, atau penyerang tingkat lanjut akan mengkompromikan paket di mirror Debian Anda. Untuk melindungi dari serangan kelas ini, gunakan sistem verifikasi tanda tangan digital APT (lihat bagian 8.3.6, “Memvalidasi Paket Keaslian” [halaman 202]) untuk memverifikasi paket dengan benar.
Apa Itu File? Sebagai pengingat: sidik jari adalah nilai, sering kali berupa angka (walaupun dalam bilangan heksadesimal Sidik jari? tation), yang berisi semacam tanda tangan untuk konten file. Tanda tangan ini dihitung dengan algoritme (MD5 atau SHA1 menjadi contoh terkenal) yang lebih
atau kurang menjamin bahwa perubahan terkecil dalam isi file akan mengakibatkan perubahan sidik jari; ini dikenal sebagai "efek longsoran". Sidik jari numerik sederhana kemudian berfungsi sebagai tes lakmus untuk memeriksa apakah isi file telah diubah. Algoritma ini tidak dapat dibalik; dengan kata lain, bagi sebagian besar dari mereka, mengetahui sidik jari tidak memungkinkan menemukan konten yang sesuai. Kemajuan matematika baru-baru ini tampaknya melemahkan kemutlakan prinsip-prinsip ini tetapi penggunaannya tidak dipertanyakan sejauh ini, karena membuat konten berbeda yang menghasilkan sidik jari yang sama tampaknya masih merupakan tugas yang cukup sulit.
Apa Itu File? Sebagai pengingat: sidik jari adalah nilai, sering kali berupa angka (walaupun dalam bilangan heksadesimal Sidik jari? tation), yang berisi semacam tanda tangan untuk konten file. Tanda tangan ini dihitung dengan algoritme (MD5 atau SHA1 menjadi contoh terkenal) yang lebih
atau kurang menjamin bahwa perubahan terkecil dalam isi file akan mengakibatkan perubahan sidik jari; ini dikenal sebagai "efek longsoran". Sidik jari numerik sederhana kemudian berfungsi sebagai tes lakmus untuk memeriksa apakah isi file telah diubah. Algoritma ini tidak dapat dibalik; dengan kata lain, bagi sebagian besar dari mereka, mengetahui sidik jari tidak memungkinkan menemukan konten yang sesuai. Kemajuan matematika baru-baru ini tampaknya melemahkan kemutlakan prinsip-prinsip ini tetapi penggunaannya tidak dipertanyakan sejauh ini, karena membuat konten berbeda yang menghasilkan sidik jari yang sama tampaknya masih merupakan tugas yang cukup sulit.
Running dpkg-V akan memverifikasi semua paket yang diinstal dan akan mencetak baris untuk setiap file yang gagal verifikasi. Setiap karakter menunjukkan pengujian pada beberapa meta-data tertentu. Sayangnya, dpkg tidak menyimpan meta-data yang diperlukan untuk sebagian besar pengujian dan dengan demikian akan menampilkan tanda tanya untuk pengujian tersebut. Saat ini hanya tes checksum yang dapat menghasilkan 5 pada karakter ketiga (bila gagal).
# dpkg-V
??5???? /lib/systemd/system/ssh.service
??5???? c /etc/libvirt/qemu/networks/default.xml
??5???? c /etc/lvm/lvm.conf
??5???? c /etc/salt/daftar
# dpkg-V
??5???? /lib/systemd/system/ssh.service
??5???? c /etc/libvirt/qemu/networks/default.xml
??5???? c /etc/lvm/lvm.conf
??5???? c /etc/salt/daftar
Dalam contoh di atas, dpkg melaporkan perubahan ke file layanan SSH yang dibuat oleh administrator ke file paket alih-alih menggunakan yang sesuai /etc/systemd/system/ssh.service menimpa (yang akan disimpan di bawah / Etc seperti perubahan konfigurasi apa pun seharusnya). Ini juga mencantumkan beberapa file konfigurasi (diidentifikasi dengan huruf "c" pada bidang kedua) yang telah dimodifikasi secara sah.