תיעודביקורת חבילות עם dpkg --verify
dpkg --verify (או dpkg -V) הוא כלי מעניין מכיוון שהוא מציג את קבצי המערכת ששונו (אפשרי על ידי תוקף), אך יש לקחת את הפלט הזה עם גרגר מלח. ל
תעשה את העבודה שלו, dpkg מסתמכת על סכומי בדיקה המאוחסנים במסד נתונים משלו המאוחסן בדיסק הקשיח (נמצא ב-/var/lib/dpkg/info/חבילה.md5sums). לכן תוקף יסודי ישנה את הקבצים האלה כך שיכילו את סכומי הבדיקה החדשים עבור הקבצים המעורערים, או שתוקף מתקדם יסכן את החבילה במראה הדביאן שלך. כדי להגן מפני סוג זה של התקפה, השתמש במערכת אימות החתימה הדיגיטלית של APT (ראה סעיף 8.3.6, "אימות חבילה אותנטיות" [עמוד 202]) כדי לאמת כראוי את החבילות.
מהו קובץ כזכור: טביעת אצבע היא ערך, לעתים קרובות מספר (אם כי בהקסדצימלי לא- טביעת אצבע? tation), המכיל סוג של חתימה לתוכן הקובץ. חתימה זו מחושבת באמצעות אלגוריתם (MD5 או SHA1 הם דוגמאות ידועות) שיותר
או פחות מבטיחה שאפילו השינוי הזעיר ביותר בתוכן הקובץ יביא לשינוי בטביעת האצבע; זה ידוע בשם "אפקט המפולת". טביעת אצבע מספרית פשוטה משמשת אז כמבחן לקמוס כדי לבדוק אם תוכן הקובץ השתנה. אלגוריתמים אלה אינם הפיכים; במילים אחרות, עבור רובם, ידיעת טביעת אצבע אינה מאפשרת למצוא את התוכן המתאים. נראה שההתקדמות המתמטית האחרונה מחלישה את המוחלטות של עקרונות אלו, אך השימוש בהם אינו מוטל בספק עד כה, שכן יצירת תכנים שונים המניבים את אותה טביעת אצבע עדיין נראית כמשימה קשה למדי.
מהו קובץ כזכור: טביעת אצבע היא ערך, לעתים קרובות מספר (אם כי בהקסדצימלי לא- טביעת אצבע? tation), המכיל סוג של חתימה לתוכן הקובץ. חתימה זו מחושבת באמצעות אלגוריתם (MD5 או SHA1 הם דוגמאות ידועות) שיותר
או פחות מבטיחה שאפילו השינוי הזעיר ביותר בתוכן הקובץ יביא לשינוי בטביעת האצבע; זה ידוע בשם "אפקט המפולת". טביעת אצבע מספרית פשוטה משמשת אז כמבחן לקמוס כדי לבדוק אם תוכן הקובץ השתנה. אלגוריתמים אלה אינם הפיכים; במילים אחרות, עבור רובם, ידיעת טביעת אצבע אינה מאפשרת למצוא את התוכן המתאים. נראה שההתקדמות המתמטית האחרונה מחלישה את המוחלטות של עקרונות אלו, אך השימוש בהם אינו מוטל בספק עד כה, שכן יצירת תכנים שונים המניבים את אותה טביעת אצבע עדיין נראית כמשימה קשה למדי.
ריצה dpkg -V יאמת את כל החבילות המותקנות וידפיס שורה עבור כל קובץ שנכשל באימות. כל תו מציין מבחן על כמה מטא נתונים ספציפיים. לצערי, dpkg אינו מאחסן את המטא-נתונים הדרושים לרוב המבחנים ובכך יוציא עבורם סימני שאלה. נכון לעכשיו רק מבחן הבדיקה יכול להניב 5 על התו השלישי (כאשר הוא נכשל).
# dpkg -V
??5??????? /lib/systemd/system/ssh.service
??5??????? c /etc/libvirt/qemu/networks/default.xml
??5??????? c /etc/lvm/lvm.conf
??5??????? c /etc/salt/roster
# dpkg -V
??5??????? /lib/systemd/system/ssh.service
??5??????? c /etc/libvirt/qemu/networks/default.xml
??5??????? c /etc/lvm/lvm.conf
??5??????? c /etc/salt/roster
בדוגמה שלמעלה, dpkg מדווחת על שינוי בקובץ השירות של SSH שמנהל המערכת ביצע בקובץ הארוז במקום להשתמש בקובץ מתאים /etc/systemd/system/ssh.service לעקוף (שיישמר למטה /וכו כמו שכל שינוי תצורה צריך להיות). זה גם מפרט קובצי תצורה מרובים (המזוהים באות "c" בשדה השני) ששונו באופן לגיטימי.