dokumentasi<Sebelum | Contents [show] | Seterusnya>
Pakej Pengauditan dengan dpkg --verify
dpkg --verify (atau dpkg -V) ialah alat yang menarik kerana ia memaparkan fail sistem yang telah diubah suai (berpotensi oleh penyerang), tetapi output ini harus diambil dengan sebutir garam. Kepada
melakukan tugasnya, dpkg bergantung pada checksum yang disimpan dalam pangkalan datanya sendiri yang disimpan pada cakera keras (terdapat dalam /var/lib/dpkg/info/pakej.md5sums). Oleh itu, penyerang yang teliti akan mengubah suai fail ini supaya ia mengandungi jumlah semak baharu untuk fail terbalik, atau penyerang lanjutan akan menjejaskan pakej pada cermin Debian anda. Untuk melindungi daripada kelas serangan ini, gunakan sistem pengesahan tandatangan digital APT (lihat bahagian 8.3.6, “Pakej Pengesahan Kesahihan” [halaman 202]) untuk mengesahkan pakej dengan betul.
Apa Itu Fail Sebagai peringatan: cap jari ialah nilai, selalunya nombor (walaupun dalam heksadesimal no- Cap jari? tation), yang mengandungi sejenis tandatangan untuk kandungan fail. Tandatangan ini dikira dengan algoritma (MD5 atau SHA1 sebagai contoh yang terkenal) yang lebih
atau kurang menjamin bahawa walaupun perubahan terkecil dalam kandungan fail akan mengakibatkan perubahan cap jari; ini dikenali sebagai "kesan longsoran". Cap jari berangka mudah kemudiannya berfungsi sebagai ujian litmus untuk memeriksa sama ada kandungan fail telah diubah. Algoritma ini tidak boleh diterbalikkan; dalam erti kata lain, bagi kebanyakan mereka, mengetahui cap jari tidak membenarkan mencari kandungan yang sepadan. Kemajuan matematik terkini nampaknya melemahkan kemutlakan prinsip-prinsip ini tetapi penggunaannya tidak dipersoalkan setakat ini, kerana mencipta kandungan berbeza yang menghasilkan cap jari yang sama nampaknya masih menjadi tugas yang agak sukar.
Apa Itu Fail Sebagai peringatan: cap jari ialah nilai, selalunya nombor (walaupun dalam heksadesimal no- Cap jari? tation), yang mengandungi sejenis tandatangan untuk kandungan fail. Tandatangan ini dikira dengan algoritma (MD5 atau SHA1 sebagai contoh yang terkenal) yang lebih
atau kurang menjamin bahawa walaupun perubahan terkecil dalam kandungan fail akan mengakibatkan perubahan cap jari; ini dikenali sebagai "kesan longsoran". Cap jari berangka mudah kemudiannya berfungsi sebagai ujian litmus untuk memeriksa sama ada kandungan fail telah diubah. Algoritma ini tidak boleh diterbalikkan; dalam erti kata lain, bagi kebanyakan mereka, mengetahui cap jari tidak membenarkan mencari kandungan yang sepadan. Kemajuan matematik terkini nampaknya melemahkan kemutlakan prinsip-prinsip ini tetapi penggunaannya tidak dipersoalkan setakat ini, kerana mencipta kandungan berbeza yang menghasilkan cap jari yang sama nampaknya masih menjadi tugas yang agak sukar.
Berlari dpkg -V akan mengesahkan semua pakej yang dipasang dan akan mencetak baris untuk setiap fail yang gagal pengesahan. Setiap aksara menandakan ujian pada beberapa meta-data tertentu. Malangnya, dpkg tidak menyimpan meta-data yang diperlukan untuk kebanyakan ujian dan dengan itu akan mengeluarkan tanda soal untuknya. Pada masa ini hanya ujian checksum boleh menghasilkan 5 pada aksara ketiga (apabila ia gagal).
# dpkg -V
??5?????? /lib/systemd/system/ssh.service
??5?????? c /etc/libvirt/qemu/networks/default.xml
??5?????? c /etc/lvm/lvm.conf
??5?????? c /etc/salt/roster
# dpkg -V
??5?????? /lib/systemd/system/ssh.service
??5?????? c /etc/libvirt/qemu/networks/default.xml
??5?????? c /etc/lvm/lvm.conf
??5?????? c /etc/salt/roster
Dalam contoh di atas, dpkg melaporkan perubahan pada fail perkhidmatan SSH yang pentadbir buat pada fail berpakej dan bukannya menggunakan fail yang sesuai. /etc/systemd/system/ssh.service mengatasi (yang akan disimpan di bawah / Etc seperti mana-mana perubahan konfigurasi sepatutnya). Ia juga menyenaraikan berbilang fail konfigurasi (dikenal pasti oleh huruf "c" pada medan kedua) yang telah diubah suai secara sah.