インストールしたばかりのパッケージは合法的ですか?そうでない場合、どのように削除しますか?

tag-icon tag-icon security dpkg
インストールしたばかりのパッケージは合法的ですか?そうでない場合、どのように削除しますか?

Update Manager GUIを実行しました。すべてのパッケージのインストールを要求すると、そのパッケージをインストールすることを確認するように求められます。 3つのパッケージドロップダウンがあり、そのうちの1つは「Unauthorized」です。それで、戻ってパッケージを一つずつインストールしてみました。私は「ca-certificates」という証明書を選択しました。これは、警告なしに他の証明書がインストールされる可能性があり、拒否する機会があると考えたためです。ただし、そのパッケージのみを使用して実行すると、メッセージは表示されず、引き続きインストールされます。私の考えでは、この人が初めていたずらリストに含まれていたかもしれません。これで悪意のあるアップデートがありました。

これが正当であるかどうかはどうすればわかりますか?そうでない場合は、どのように削除しますか?

コンソール出力に疑わしい内容はありませんが、/var/log/dpkg.log役に立つ場合は投稿できます。

私はLinux Mintバージョン1.17.3とdpkgバージョン1.17.5を使用しています。 Update Managerのバージョンがわかりません(ただし、名前というファイルです/usr/lib/linuxmint/mintUpdate/mintUpdate.py)。

/var/log/dpkg.log:

2017-11-05 12:12:26 startup archives unpack
2017-11-05 12:12:32 upgrade ca-certificates:all 20160104ubuntu0.14.04.1 20170717~14.04.1
2017-11-05 12:12:32 status half-configured ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status unpacked ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status triggers-pending man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 trigproc man-db:amd64 2.6.7.1-1ubuntu1 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-configured man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:34 status installed man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:35 startup packages configure
2017-11-05 12:12:35 configure ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:35 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:35 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status installed ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status triggers-pending ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:38 trigproc ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:38 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:43 status installed ca-certificates:all 20170717~14.04.1

更新されたコンソール出力:

(synaptic:12479): GLib-CRITICAL **: g_child_watch_add_full: assertion 'pid > 0' failed
Preconfiguring packages ...
(Reading database ... 180668 files and directories currently installed.)
Preparing to unpack .../ca-certificates_20170717~14.04.1_all.deb ...
Unpacking ca-certificates (20170717~14.04.1) over (20160104ubuntu0.14.04.1) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Setting up ca-certificates (20170717~14.04.1) ...
Processing triggers for ca-certificates (20170717~14.04.1) ...
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
17 added, 42 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:AC_RAIZ_FNMT-RCM.pem
Adding debian:Amazon_Root_CA_1.pem
Adding debian:Amazon_Root_CA_2.pem
Adding debian:Amazon_Root_CA_3.pem
Adding debian:Amazon_Root_CA_4.pem
Adding debian:Certplus_Root_CA_G1.pem
Adding debian:Certplus_Root_CA_G2.pem
Adding debian:Certum_Trusted_Network_CA_2.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
Adding debian:ISRG_Root_X1.pem
Adding debian:LuxTrust_Global_Root_2.pem
Adding debian:OpenTrust_Root_CA_G1.pem
Adding debian:OpenTrust_Root_CA_G2.pem
Adding debian:OpenTrust_Root_CA_G3.pem
Adding debian:SZAFIR_ROOT_CA2.pem
Adding debian:TUBITAK_Kamu_SM_SSL_Kok_Sertifikasi_-_Surum_1.pem
Removing debian:AC_Raíz_Certicámara_S.A..pem
Removing debian:ApplicationCA_-_Japanese_Government.pem
Removing debian:Buypass_Class_2_CA_1.pem
Removing debian:CA_Disig.pem
Removing debian:ComSign_CA.pem
Removing debian:EBG_Elektronik_Sertifika_Hizmet_Sağlayıcısı.pem
Removing debian:Equifax_Secure_CA.pem
Removing debian:Equifax_Secure_Global_eBusiness_CA.pem
Removing debian:Equifax_Secure_eBusiness_CA_1.pem
Removing debian:IGC_A.pem
Removing debian:Juur-SK.pem
Removing debian:Microsec_e-Szigno_Root_CA.pem
Removing debian:NetLock_Business_=Class_B=_Root.pem
Removing debian:NetLock_Express_=Class_C=_Root.pem
Removing debian:NetLock_Notary_=Class_A=_Root.pem
Removing debian:NetLock_Qualified_=Class_QA=_Root.pem
Removing debian:RSA_Security_2048_v3.pem
Removing debian:Root_CA_Generalitat_Valenciana.pem
Removing debian:S-TRUST_Authentication_and_Encryption_Root_CA_2005_PN.pem
Removing debian:Sonera_Class_1_Root_CA.pem
Removing debian:Staat_der_Nederlanden_Root_CA.pem
Removing debian:StartCom_Certification_Authority.pem
Removing debian:StartCom_Certification_Authority_2.pem
Removing debian:StartCom_Certification_Authority_G2.pem
Removing debian:SwissSign_Platinum_CA_-_G2.pem
Removing debian:TC_TrustCenter_Class_3_CA_II.pem
Removing debian:UTN_USERFirst_Email_Root_CA.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_2.pem
Removing debian:WellsSecure_Public_Root_Certificate_Authority.pem
Removing debian:WoSign.pem
Removing debian:WoSign_China.pem
Removing debian:CA_WoSign_ECC_Root.pem
Removing debian:Certification_Authority_of_WoSign_G2.pem
Removing debian:S-TRUST_Universal_Root_CA.pem
Removing debian:TÜRKTRUST_Elektronik_Sertifika_Hizmet_Sağlayıcısı_H6.pem
done.
done.

ベストアンサー1

パッケージが悪意のある場合は、ログや実行したアクションのトレースを削除するなど、root権限でコードを実行する機会が既にあるため、証拠を見つけても見つからない場合でも、情報に基づいてサーバーが破損していると見なすことができます。あなたの方針。

そうではなく、@roaimaが述べた/etc/apt/sources.listように公式リポジトリだけを構成した場合/etc/apt/sources.d)、それ以降は問題がないと仮定できます。パッケージ署名済みインストールする前に署名を確認してください。

しかし、今何かをもう一度確認したい場合は、リストされたハッシュを確認できます。ここあなたのファイルのために/var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb。これを行うにはsha256sum /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb、文字列を実行してUbuntuページに表示されているものと文字で比較します。正確に一致する場合は、このファイルがインストールされたファイルであり、Ubuntuからインポートされたファイルであると言えます。 (Mintは独自の証明書パッケージを提供していないため、検索して確認できます。ここ)。

あなたの便宜のためにこのページから得られたハッシュはです3b464250889051e2da74d123d9d440572158d87583090c75be9eab7c2e330f14

繰り返しますが、パッケージが悪意のある場合は遅すぎます。そうでない場合は、そのままにするか、通常どおり削除を使用してくださいapt-get remove ca-certificates

ファイルが見つからない場合は、ログから誤ったバージョンが取得されたか、コンピュータの適切なキャッシュが消去され、ダウンロードしたものを確認するのが非常に困難になる可能性があります。

おすすめ記事