用RPM 校验文件.pdfVIP

RPM 校验文件 September 11, 2000 Sinbad Technical Publications Website: Copyright 2000, All Rights Reserved 原作：Chris Brenton 翻译：Sinbad 有些事情对我们系统管理员来说至少发生过一次，就是你感觉到你的系统好像 不对劲，开始怀疑有人已经突破了你的防御。确定此事是否发生的途径之一就 是检查系统文件有没有变化，你需要安装TripWire 或者其他审计工具来帮忙。 幸运的是，Red Hat 的程序员们开发了一个工具，叫作 Red Hat Package Manager ，简称为RPM 。在Red Hat 的Linux 系统中是默认存在的。 1.RPM 能为我做些什么？ RPM 是一个强大的工具，用来安装、升级和校验Red Hat 系统上的软件包。 它的校验功能可以用来确认文件是否被修改或覆盖，这正是本文所要讨论的。 除了文件的大小和时间戳，RPM 还能检查文件的信息文摘或MD5 签名。 在RFC 1321 中有MD5 的详细描述。简单的说，MD5 根据文件的内容用算法 产生一个唯一的128 位签名，用任何方法改变文件都会导致签名改变。尽管人 们一直在讨论修改文件后能保持签名不变的理论可能性，但截止到目前还没有 人能够做到。所以在文件使用前后各作一次MD5 检查，能够99.9999%的保证 文件没有改变。 2.如何使用RPM 来检查文件？ 有一些RPM 的参数你需要注意。第一个是 “-V ”，它检查与某一RPM 包相关 所有文件的完整性。语法为： rpm -V package_name_to_verify 比如系统上运行了sendmail，通过以下命 检查所有相关文件的完整性： rpm -V sendmail 输出看来是这样的： Sinbad Technical Publications Page 1 [root@fubar /root]# rpm -V sendmail S.5T c /etc/aliases missing /etc/mail/ip_allow S.5T c /etc/mail/relay_allow S.5T c /etc/sendmail.cf S.5T c /etc/sendmail.cw S.5T /usr/sbin/sendmail S.5T /var/log/sendmail.st [root@fubar /root]# 只有校验失败的文件才被列出，没有列出的文件应该是完好无损的。左边给出 了为什么校验失败的 因，具体解释如下： S = 大小改变 M = 权限改变 5 = MD5 改变 L = 连接改变 D = 设备改变 U = 用户改变 G = 组改变 T = 日期和时间改变 missing = 文件丢失 从上面的输出可见，文件aliases, relay_allow, sendmail.cf 和 sendmail.cw 的大 小、时间日期和 MD5 发生了改变。由于它们是配置文件，应该没什么关系。 但是 的改变就要引起注意了，它是一个监听在 端口的可执 /usr/bin/sendmail 25 行文件，用来接受信件。除非你升级了sendmail，否则它不应该校验失败，很 明显有人修改或者覆盖了原来的sendmail 文件，可能带有木马或者后门。 输出还显示ip_allow 文件被删除或者被改名。这是用来检查和控制SPAM 的一 个文件，它的丢失某种程度上表明相关的二进制文件可能被修改。 当观察RPM 输出的时候，在检查日期时间和文件大小的同时，要特别注意MD5 是否变化，入侵者经常修改或覆盖某些文件来隐藏他们的踪迹。 挨个检查软件包很费时间，用“ ”选项可以一次性检查所有 包：