Как проверить цифровые подписи у всех установленных пакетах ?

[ustas11]

   В целях передачи-приемки системы возникла необходимость на текущем состоянии
проверить цифровые подписи у всех установленных пакетах.
Как это сделать ?

[endru]

На этапе установки их надо проверять. После установки проверять смысла нет, ибо только пакет обладает цифровой подписью, распакованные файлы уже не обладают подписями.

[red_rain]

Как это сделать ?

Ищи пакеты в /var/cache/apt/archives и проверяй

[endru]

Ищи пакеты в /var/cache/apt/archives и проверяй

чем это поможет? я могу скачать пакеты без установки, они будут там лежать все валидные, или вообще очищу кэш скачанных пакетов дальше что? а если я поставлю пакеты из файлов минуя apt тоже определит?

[dogsleg]

С помощью debsums и dpkg --verify можно проверить хэши установленных файлов. Хэши сравниваются с данными из /var/lib/dpkg/info/package.md5sums (в случае dpkg) или с хэшами из пакетов (в случае debsums).

Подробнее см.: https://www.debian.org/doc/manuals/debian-handbook/sect.supervision.en.html#id-1.17.6.6

[endru]

С помощью debsums и dpkg --verify можно проверить хэши установленных файлов

в случае бинарников - хорошая вещь, в случае конфигов - вещь бесполезная, в продакшене мало какие конфиги остаются дефолтными, да и проверяет он только те файлы которые перечислены в пакете, не более того.
К примеру можно взять nginx и apache, не трогать стандартные конфиги, а просто дописать свой сайт - проверку dpkg --verify пройдет.
тоже самое касается и других пакетов. Ну и вариант подмены хэш суммы никто не отменял. и ХЭШ != цифровая подпись.