rpm(1)提供-V选项以根据安装数据库验证已安装的文件,该文件可用于检测已修改或丢失的文件。 这可以用作入侵检测的一种形式(或至少是审计的一部分)。但是,安装的rpm数据库当然可能会被黑客修改以隐藏其轨迹(参见http://www.sans.org/security-resources/idfaq/rpm.php,最后一句)
看起来应该可以在每次安装(对某些外部介质)之后备份rpm数据库/ var / lib / rpm,并在使用--dbpath进行审计期间使用它。每次安装或升级等后都必须更新这样的备份。
这可行吗?是否有任何资源可以为此详细说明方法,陷阱,建议等?
答案 0 :(得分:1)
是可行的。使用“rpm -Va --dbpath / some / where / else”指向 一些保存的数据库目录。
将/ var / lib / rpm / Packages复制到保存的/ some / where / else目录, 并运行“rpm --rebuilddb --dbpath / some / where / else”重新生成 指数。
请注意,您还可以使用原始包装验证文件 比如“rpm -Vp some * .rpm”,这通常不那么麻烦(以及更多 使用RO离线媒体存储包保护,而不是保存副本 已安装的/ var / lib / rpm / Packages rpmdb。