Как проверить цифровые подписи у всех установленных пакетах ?

Автор ustas11, 04 ноября 2019, 17:44:31

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

ustas11

   В целях передачи-приемки системы возникла необходимость на текущем состоянии
проверить цифровые подписи у всех установленных пакетах.
Как это сделать ?

endru

На этапе установки их надо проверять. После установки проверять смысла нет, ибо только пакет обладает цифровой подписью, распакованные файлы уже не обладают подписями.

red_rain


endru

Цитата: red_rain от 05 ноября 2019, 10:13:50Ищи пакеты в /var/cache/apt/archives и проверяй
чем это поможет? я могу скачать пакеты без установки, они будут там лежать все валидные, или вообще очищу кэш скачанных пакетов дальше что? а если я поставлю пакеты из файлов минуя apt тоже определит?

dogsleg

#4
С помощью debsums и dpkg --verify можно проверить хэши установленных файлов. Хэши сравниваются с данными из /var/lib/dpkg/info/package.md5sums (в случае dpkg) или с хэшами из пакетов (в случае debsums).

Подробнее см.: https://www.debian.org/doc/manuals/debian-handbook/sect.supervision.en.html#id-1.17.6.6

endru

Цитата: dogsleg от 05 ноября 2019, 11:35:21С помощью debsums и dpkg --verify можно проверить хэши установленных файлов
в случае бинарников - хорошая вещь, в случае конфигов - вещь бесполезная, в продакшене мало какие конфиги остаются дефолтными, да и проверяет он только те файлы которые перечислены в пакете, не более того.
К примеру можно взять nginx и apache, не трогать стандартные конфиги, а просто дописать свой сайт - проверку dpkg --verify пройдет.
тоже самое касается и других пакетов. Ну и вариант подмены хэш суммы никто не отменял. и ХЭШ != цифровая подпись.