Como faço para verificar a autenticidade de um executável do sistema Linux?

1

Estou ciente do md5sum e do gpg, mas não tenho idéia se existem checksums registrados para qualquer versão atual do ubuntu instalada.

Estes são gravados em algum lugar? Especificamente, desconfio que meu executável / bin / ps tenha sido comprometido por um hacker.

obrigado

maratona
fonte

Respostas:

4

A maioria das distribuições do Linux é baseada em um formato de pacote binário. Nesse caso, descubra em qual pacote um programa veio e apenas reinstale-o ou faça o download do pacote e compare-o.

psfaz parte do procps , e seus pacotes Ubuntu estão disponíveis aqui . pstem a soma de verificação MD5 d9a2e1562e6aabb8f02b43f8b6e3d7ebem sua versão atual para "Raring Ringtail" para amd64.

Daniel Beck
fonte
4

A maioria dos sistemas de pacotes tem uma maneira de verificar a integridade dos pacotes instalados.

Para sistemas baseados em RPM: rpm -V <packagename>

Para Debian / Ubuntu você pode usar debsums :

debsums - verifica as somas MD5 dos pacotes Debian instalados

Isso é principalmente útil para encontrar corrupções acidentais. Se você suspeitar de modificação mal-intencionada, ferramentas como rkhunter ou chkrootkit podem ser úteis.

Não esqueça que uma vez que um sistema foi comprometido, você não pode mais confiar nele.

bwt
fonte
1
+1, também: "você não pode confiar mais" inclui quaisquer resultados de verificação positivos dos binários do sistema executados neste sistema.
Daniel Beck
Bom ponto. As bibliotecas dinâmicas podem ser alteradas e, em seguida, o md5sum não mostraria nada. Acabamos limpando o sistema porque o arrombamento parecia ser um ataque bem sofisticado.
maratona
2

Eu não sei se há uma lista de hashes md5 ...

No entanto, você sempre pode recompilar a pspartir da origem e comparar os hashes md5 de ambos.

Keltari
fonte
3
Até onde eu sei, o md5 terá um capuz muito alto diferente devido a diferenças entre os sistemas (diferentes versões do gcc / g ++, diferentes configurações, possível diferença nos níveis de patch das fontes etc.). Em teoria, é uma boa idéia, na prática, é mais fácil usar o gerenciador de pacotes para verificar a integridade.
Bobby
1
oh sim ... bom ponto, não pensei sobre isso
Keltari