Hallo,
ich wollte "mal schnell" einen (Debian-) Rechner auf Integrität testen. Tripwire war nicht vorhanden bzw. durchgeführt worden. debsums war das Werkzeug der Wahl.
Aber (anderer Rechner, Sarge): bernd@pc2:~$ debsums -s debsums: no md5sums for at debsums: no md5sums for base-files debsums: no md5sums for bc debsums: no md5sums for bin86 debsums: no md5sums for binutils ... Enttäuscht ja gewaltig. Natürlich kann ich debsums über vorhandene *.deb's erzeugen; weiß ich aber sicher, ob die unverändert sind?
Die Frage: Wohin wendet man sich am besten mit der Bitte, die Summen in die Pakte einzutragen? (Oder eine Erlärung zu bekommen, warum die nicht dabei sind?)
tia Bernhard
Am Mittwoch, den 01.02.2006, 14:53 +0100 schrieb Bernhard Schiffner:
Hallo,
ich wollte "mal schnell" einen (Debian-) Rechner auf Integrität testen. Tripwire war nicht vorhanden bzw. durchgeführt worden. debsums war das Werkzeug der Wahl.
Aber (anderer Rechner, Sarge): bernd@pc2:~$ debsums -s debsums: no md5sums for at debsums: no md5sums for base-files debsums: no md5sums for bc debsums: no md5sums for bin86 debsums: no md5sums for binutils ... Enttäuscht ja gewaltig. Natürlich kann ich debsums über vorhandene *.deb's erzeugen; weiß ich aber sicher, ob die unverändert sind?
Bekommst du das für viele Pakete? Mit debsums -l listest du alle Pakete, denen die .md5sums fehlt.
Die Frage: Wohin wendet man sich am besten mit der Bitte, die Summen in die Pakte einzutragen?
Die liegen eigentlich jedem Paket bei. Schau mal in /var/lib/dpkg/info und such nach <paket>.md5sums. Jedes Paket sollte diese Datei mitbringen.
(Oder eine Erlärung zu bekommen, warum die nicht dabei sind?)
Keine Ahnung, was da ist/war. Ein apt-get install --reinstall ... beschert dir die Dateien. Über den Zustand des Systems sagt das natürlich nichts aus. Auch debsums kann dir wenig über die Pakete sagen. Ein Angreifer müsste nur die passende .md5sums ersetzen um debsums zu täuschen.
MfG Daniel
On Wednesday 01 February 2006 17:48, Daniel Leidert wrote:
Am Mittwoch, den 01.02.2006, 14:53 +0100 schrieb Bernhard Schiffner:
Hallo,
ich wollte "mal schnell" einen (Debian-) Rechner auf Integrität testen. Tripwire war nicht vorhanden bzw. durchgeführt worden. debsums war das Werkzeug der Wahl.
...
Bekommst du das für viele Pakete? Mit debsums -l listest du alle Pakete, denen die .md5sums fehlt.
bernd@pc2:~$ ls -1 /var/lib/dpkg/info/*md5sums | wc -l 695 bernd@pc2:~$ debsums -l | wc -l 55 bernd@pc2:~$ su -c "apt-get install --reinstall at" bernd@pc2:~$ debsums -l | wc -l 22 bernd@pc2:~$ su -c "debsums -l | xargs apt-get install --reinstall --yes" bernd@pc2:~$ ls -1 /var/lib/dpkg/info/*md5sums | wc -l 749 bernd@pc2:~$ debsums -l | wc -l 9 bernd@pc2:~$
Keine Ahnung, was da ist/war. Ein apt-get install --reinstall ... beschert dir die Dateien.
Richtig. s.o. Aber: - 33 Summen neu, wenn ich nur ein Paket reinstalliere? - ein paar scheinen echt keine MD5-Summe zu haben: bernd@pc2:~$ debsums -l console-data doc-debian hotplug mime-support ncurses-base ncurses-term netbase sysv-rc ucf
Über den Zustand des Systems sagt das natürlich nichts aus. Auch debsums kann dir wenig über die Pakete sagen. Ein Angreifer müsste nur die passende .md5sums ersetzen um debsums zu täuschen.
debsums -d hilft da weiter.
MfG Daniel
Danke! Bernhard
Am Donnerstag, den 02.02.2006, 08:48 +0100 schrieb Bernhard Schiffner:
On Wednesday 01 February 2006 17:48, Daniel Leidert wrote:
Am Mittwoch, den 01.02.2006, 14:53 +0100 schrieb Bernhard Schiffner:
Hallo,
ich wollte "mal schnell" einen (Debian-) Rechner auf Integrität testen. Tripwire war nicht vorhanden bzw. durchgeführt worden. debsums war das Werkzeug der Wahl.
...
Bekommst du das für viele Pakete? Mit debsums -l listest du alle Pakete, denen die .md5sums fehlt.
bernd@pc2:~$ ls -1 /var/lib/dpkg/info/*md5sums | wc -l
[snip]
Keine Ahnung, was da ist/war. Ein apt-get install --reinstall ... beschert dir die Dateien.
Richtig. s.o. Aber:
- 33 Summen neu, wenn ich nur ein Paket reinstalliere?
Keine Ahnung, was da vor sich geht. Dein Problem wäre sowieso eine interessante Frage für eine offizielle Debian Liste. Auf die Schnelle habe ich nur MID: 20030422042010$2b56@gated-at.bofh.it gefunden.
- ein paar scheinen echt keine MD5-Summe zu haben:
bernd@pc2:~$ debsums -l console-data
dl@leidi$ ls -lA /var/lib/dpkg/info/console-data.md5sums -rw-r--r-- 1 root root 39437 2006-01-29 00:06 /var/lib/dpkg/info/console-data.md5sums
dl@leidi2:~$ ls -lA /var/lib/dpkg/info/console-data.md5sums -rw-r--r-- 1 root root 39357 2005-02-19 01:45 /var/lib/dpkg/info/console-data.md5sums
doc-debian hotplug mime-support ncurses-base ncurses-term netbase sysv-rc ucf
Unter Sid, wo ich diese Pakete auch installiert habe, haben alle davon eine .md5sums.
Über den Zustand des Systems sagt das natürlich nichts aus. Auch debsums kann dir wenig über die Pakete sagen. Ein Angreifer müsste nur die passende .md5sums ersetzen um debsums zu täuschen.
debsums -d hilft da weiter.
Ok. Dazu müsstest du das Verzeichnis, dass du mit -d angibst aber auf einem nicht-schreibbaren Medium abgelegt haben, einem USB-Stick evtl, dass vom System getrennt gelagert wird. In allen anderen Fällen, ist die Aussage von md5sums nicht aussagekräftig.
MfG Daniel
lug-dd@mailman.schlittermann.de
-
Bernhard Schiffner -
Daniel Leidert