Am Donnerstag, den 02.02.2006, 08:48 +0100 schrieb Bernhard Schiffner:
On Wednesday 01 February 2006 17:48, Daniel Leidert wrote:
Am Mittwoch, den 01.02.2006, 14:53 +0100 schrieb Bernhard Schiffner:
Hallo,
ich wollte "mal schnell" einen (Debian-) Rechner auf Integrität testen. Tripwire war nicht vorhanden bzw. durchgeführt worden. debsums war das Werkzeug der Wahl.
...
Bekommst du das für viele Pakete? Mit debsums -l listest du alle Pakete, denen die .md5sums fehlt.
bernd@pc2:~$ ls -1 /var/lib/dpkg/info/*md5sums | wc -l
[snip]
Keine Ahnung, was da ist/war. Ein apt-get install --reinstall ... beschert dir die Dateien.
Richtig. s.o. Aber:
- 33 Summen neu, wenn ich nur ein Paket reinstalliere?
Keine Ahnung, was da vor sich geht. Dein Problem wäre sowieso eine interessante Frage für eine offizielle Debian Liste. Auf die Schnelle habe ich nur MID: 20030422042010$2b56@gated-at.bofh.it gefunden.
- ein paar scheinen echt keine MD5-Summe zu haben:
bernd@pc2:~$ debsums -l console-data
dl@leidi$ ls -lA /var/lib/dpkg/info/console-data.md5sums -rw-r--r-- 1 root root 39437 2006-01-29 00:06 /var/lib/dpkg/info/console-data.md5sums
dl@leidi2:~$ ls -lA /var/lib/dpkg/info/console-data.md5sums -rw-r--r-- 1 root root 39357 2005-02-19 01:45 /var/lib/dpkg/info/console-data.md5sums
doc-debian hotplug mime-support ncurses-base ncurses-term netbase sysv-rc ucf
Unter Sid, wo ich diese Pakete auch installiert habe, haben alle davon eine .md5sums.
Über den Zustand des Systems sagt das natürlich nichts aus. Auch debsums kann dir wenig über die Pakete sagen. Ein Angreifer müsste nur die passende .md5sums ersetzen um debsums zu täuschen.
debsums -d hilft da weiter.
Ok. Dazu müsstest du das Verzeichnis, dass du mit -d angibst aber auf einem nicht-schreibbaren Medium abgelegt haben, einem USB-Stick evtl, dass vom System getrennt gelagert wird. In allen anderen Fällen, ist die Aussage von md5sums nicht aussagekräftig.
MfG Daniel