Otázka :V některých scénářích, u kterých existuje podezření, že soubory v systému z instalace rpm byly pozměněny, změněny nebo s nimi bylo manipulováno. Například byl systém napaden hackery a byl zmanipulován binární soubor ssh. Jak zkontrolovat, zda na něm byly provedeny změny v porovnání od instalace?
Chcete-li ověřit a zkontrolovat, zda se soubory nainstalované v systému s rpm nebo yum od instalace změnily, použijte následující příkaz:
# rpm -V [PACKAGE_NAME]
Pokud jste od instalace změnili některý ze souborů v rpm, bude uveden ve výstupu výše uvedených příkazů. Každý řádek bude začínat specifickým příznakem označujícím změnu. Význam každého příznaku je uveden v tabulce níže:
| Příznak | Význam |
|---|---|
| S | Velikost souboru se liší |
| M | Režim se liší (zahrnuje oprávnění a typ souboru) |
| 5 | Součet MD5 se liší |
| D | Neshoda hlavního/vedlejšího čísla zařízení |
| L | neshoda cesty readLink(2) |
| U | Vlastnictví uživatele se liší |
| G | Vlastnictví skupiny se liší |
| T | mTime se liší |
Příklad
1. Existuje podezření, že došlo k manipulaci se serverem SSH. Nejprve tedy zkontrolujeme otáčky za minutu, které distribuují soubor:
# yum provides */sshd openssh-server
Tedy openssh-server je rpm, který poskytuje binární soubory ssh v systému.
2. Dále zkontrolujte případné změny v souborech poskytovaných openssh-server rpm:
# rpm -V openssh-server
Pokud byl některý soubor zmanipulován, bude uveden ve výše uvedeném výstupu příkazu. Něco podobného níže:
S.5....T. /usr/sbin/sshd
Falgs zde znamená, že binární soubor serveru SSH byl zmanipulován:
S file Size differs 5 MD5 sum differs T mTime differs
Soubor má jinou velikost, kontrolní součet MD5 a časové razítko modifikace než soubor distribuovaný s RPM.
3. Zde se můžeme pokusit znovu nainstalovat balíček pomocí yum, abychom získali původní distribuované soubory z repozitářů:
# yum reinstall openssh-server
V tomto konkrétním např. SSH server je třeba restartovat.
# service sshd restart
Pro distribuce založené na systemd použijte k restartování služby systemctl:
# systemctl restart sshd