OpenSSH 漏洞 [重复]

Question

uvsmtid

Asked: 2016-04-18 19:29:19 +0800 CST2016-04-18 19:29:19 +0800 CST 2016-04-18 19:29:19 +0800 CST

如何确保执行签名的未修改 RPM 包的完整性和安全性？

有一种方法可以根据原始 RPM 内容验证与特定包相关的文件：

# Verify `vsftpd` package.
rpm -V vsftpd

如何完成链并验证rpm命令本身没有更改？

如果我用rpm一个总是成功的脚本替换，这种类型的验证将永远不会失败。

Michael Hampton · Answer 1 · 2016-04-18T19:40:13+08:00

如果您将自己限制在要验证的单个系统中，这将是一个相当困难的问题。

幸运的是，我们生活在现实世界中，那里有不止一台计算机！

验证二进制文件的一些可能性包括：

使用安装了相同软件包版本的 RPM 的另一个参考系统，获取二进制文件的哈希值并在每个系统上进行比较。

为了增加保证，在进行比较之前，请从参考系统的存储库中重新安装签名包。

例子：
```
# yum reinstall rpm
...
Complete!

# rpm -q rpm
rpm-4.11.3-17.el7.x86_64

# sha256sum /usr/bin/rpm
743810f3c3a9e5eea8ba9bc87351db6b4e8c6393018b9bb56beb873a64ae5431  /usr/bin/rpm
```
使用基于主机的入侵检测系统（例如 OSSEC 或 Tripwire）来检测文件系统的意外更改。当然，这并不能保证您的二进制文件不会被更改，但如果处理得当，它可以警告您正在进行攻击。

请注意，如果正在使用预链接，这两种方法都会失败，这就是为什么在最近的系统上通常不再默认启用它的原因之一。

dmourati · Answer 2 · 2016-04-18T19:44:34+08:00

dmourati

# rpm -K rpm-2.3-1.i386.rpm
rpm-2.3-1.i386.rpm: size pgp md5 OK