%EA%B3%BC%20%EC%9D%BC%EC%B9%98%ED%95%98%EB%8A%94%EC%A7%80%20%EC%95%88%EC%A0%84%ED%95%98%EA%B2%8C%20%ED%99%95%EC%9D%B8%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
문제의 관점에서패키지로 설치된 파일이 원본 파일과 일치하는지 어떻게 확인할 수 있나요?내가 아는 한, 패키지에 대해 다음 명령을 실행할 수 있습니다.
dpkg -V <package>
그런데 제가 이번 감사를 실시한 이유는 시스템이 손상되었을 수도 있다는 의심이 들었기 때문입니다.
공격자가 <패키지> 손상에 성공하면 해당 공격자는 <패키지> 손상에도 성공할 수 있습니다.포장 백명령 자체를 감사하십시오. 따라서 자체 참조 감사를 신뢰할 수 없습니다.
dpkg -V dpkg
그래서 회사에 대해 자체 점검을 해보고 싶습니다.포장 백다른 시스템의 명령.
그래서 이 컴퓨터의 디스크를 폴더로 마운트했습니다./mnt/감사두 번째 컴퓨터에서는 여전히 그것을 신뢰합니다. 이제 설치 공간을 감사하고 싶습니다.포장 백존재하다/mnt/감사두 번째 컴퓨터에서. 두 번째 컴퓨터에서 실행할 명령은 무엇입니까? 다음과 유사한 작업을 수행할 수 있는 옵션이 있습니까?
dpkg -V dpkg --remote-target /mnt/audit
일단 나는 자기 감사를 믿는다포장 백, <package> 출력도 신뢰할 수 있어야 합니다.
답변1
일반적으로 시스템이 손상된 것으로 의심되면 시스템을 다시 설치해야 합니다. 바라보다이상한 무작위 이름을 가진 프로세스는 많은 네트워크 및 CPU 리소스를 소비합니다. 누군가 나를 해킹하고 있나요?몇 가지 유용한 지침.
dpkg -V우발적인 손상을 감지하는 데 유용합니다. 이는 ( .md5sum그 안의 파일 중 ) 로컬 메타데이터에 의존하므로 /var/lib/dpkg/info손상된 시스템에서는 이 메타데이터가 여전히 정확하다는 보장이 없습니다. 시스템을 외부적으로 확인하려면 해당 패키지를 모두 다운로드하고 패키지 합계로 확인 중인 시스템을 확인하거나 모든 패키지를 다시 설치해도 여전히 노출된 상태로 남을 수 있습니다. 특히 bootloader 및 initramfs는 그렇습니다. 패키지 메타데이터에 포함되지 않습니다.
실제 문제를 해결하려면 dpkg사용자가 지정한 디렉터리에 대해 실행하면 됩니다. 예를 들어 /mnt/audit해당 내용이 대부분 신뢰할 수 있는지 확인하려면 다음을 실행하세요.
dpkg --root=/mnt/audit -V dpkg
admin 디렉터리와 설치 디렉터리는 구분 가능하므로 감사 시스템과 감사 중인 시스템의 패키지 버전이 동일한 경우 다음을 실행할 수 있습니다.
dpkg --instdir=/mnt/audit -V dpkg
감사 시스템의 메타데이터를 사용하여 감사 시스템을 검증합니다 dpkg.