問題の観点からパッケージとしてインストールされたファイルが元のファイルと一致することをどのように確認できますか?私が知っている限り、パッケージに対して次のコマンドを実行できます。
dpkg -V <package>
しかし、私が今回の監査を行った理由は、システムが破損している可能性があると疑われたからです。
攻撃者が<パッケージ>の損傷に成功すると、その攻撃者は<パッケージ>の損傷にも成功する可能性があります。包装袋コマンド自体を監査してください。したがって、自己参照監査を信頼できません。
dpkg -V dpkg
だから、会社について自分でチェックしてみたいです。包装袋他のシステムからのコマンド。
それで、このコンピュータのディスクをフォルダにマウントしました。/mnt/ありがとう2台目のコンピュータでは依然として信頼しています。さて、インストールスペースに感謝したいと思います。包装袋存在する/mnt/ありがとう2台目のコンピュータで。 2台目のコンピュータで実行するコマンドは何ですか?次のようなことを行うオプションはありますか?
dpkg -V dpkg --remote-target /mnt/audit
一度私は自己感謝を信じる包装袋、<package>出力も信頼できる必要があります。
ベストアンサー1
通常、システムが損傷していると思われる場合は、システムを再インストールする必要があります。バラより奇妙なランダムな名前を持つプロセスは、多くのネットワークとCPUリソースを消費します。誰かが私をハッキングしていますか?いくつかの便利な指示。
dpkg -V偶発的な損傷を検出するのに役立ちます。これは(.md5sumその中のファイルのうち)ローカルメタデータに依存するため、破損した/var/lib/dpkg/infoシステムではこのメタデータがまだ正確であるという保証はありません。システムを外部で確認するには、そのパッケージをすべてダウンロードし、パッケージの合計で確認されているシステムを確認するか、すべてのパッケージを再インストールしても公開されたままになります。特にbootloaderとinitramfsはそうです。パッケージメタデータには含まれていません。
実際の問題を解決するには、dpkgユーザーが指定したディレクトリに対して実行するだけです。たとえば、/mnt/auditその内容がほとんど信頼できることを確認するには、次のようにします。
dpkg --root=/mnt/audit -V dpkg
adminディレクトリとインストールディレクトリは区別可能であるため、監査システムと監査対象システムのパッケージバージョンが同じ場合は、次のことを実行できます。
dpkg --instdir=/mnt/audit -V dpkg
監査システムのメタデータを使用して監査システムを検証しますdpkg。