Чи може dpkg перевірити файли з встановленого пакету?


31

З rpm -qV openssh-serverя отримаю список файлів, які змінилися порівняно з типовими.

~$ rpm -qV openssh-server
S.?....T.  c /etc/ssh/sshd_config
~$ 

Може dpkgв Ubuntu зробити те саме?

Відповіді:


21

Я не думаю, що в Ubuntu md5 контрольні суми зберігаються лише для певних файлів. Для будь-якого пакета можна знайти список файлів, на яких є контрольні суми

/var/lib/dpkg/info/<package>.md5sums

напр

/var/lib/dpkg/info/openssh-server.md5sums

Вони, як правило, не містять повного списку файлів, встановлених пакетом, наприклад, openssh-server.md5sums

bb5096cf79a43b479a179c770eae86d8  usr/lib/openssh/sftp-server
42da5b1c2de18ec8ef4f20079a601f28  usr/sbin/sshd
8c5592e0d522fa0f8f55f3c104479ef5  usr/share/lintian/overrides/openssh-server
cfcb67f58bcd1edcaa5a770863e49304  usr/share/man/man5/sshd_config.5.gz
71a51cbb514da3044b277e05a3ceaf0b  usr/share/man/man8/sshd.8.gz
222d4da61fcb3c65b4e6e83944752f20  usr/share/man/man8/sftp-server.8.gz

Ви можете скористатися командою debsums (sudo apt-get install debsums) для перевірки файлів, які мають підписи md5

debsums openssh-server
/usr/lib/openssh/sftp-server                                                  OK
/usr/sbin/sshd                                                                OK
/usr/share/lintian/overrides/openssh-server                                   OK
/usr/share/man/man5/sshd_config.5.gz                                          OK
/usr/share/man/man8/sshd.8.gz                                                 OK
/usr/share/man/man8/sftp-server.8.gz                                          OK

Програми md5sums опускають конфігураційні файли (ті, що в / і т.д.), оскільки очікується, що вони будуть змінені.
psusi

Так, файл / etc / ssh / sshd_config, наприклад, генерується скриптом. Під CentOS, хоча конфігураційні файли за замовчуванням мають md5sums.
user9517 підтримує GoFundMonica

5
Контрольні суми md5 для конфігураційних файлів зберігаються у / var / lib / dpkg / status . "dpkg -V" перевірить контрольні суми всіх файлів у системі, включаючи файли conf.
bain

25

Як і в dpkg / 1.17.2, він реалізує --verifyопцію, згідно з цим звітом про помилки debian .

Зауважте, що це відносно нова зміна dpkg. Date: Thu, 05 Dec 2013 04:56:31 +0100рядок у пакеті dpkg v1.17.2 показує це.

Ось короткий опис --verifyдії, цитований зі сторінки man dpkg.

   -V, --verify [package-name...]
          Verifies  the integrity of package-name or all packages if omit‐
          ted, by comparing information from the installed paths with  the
          database metadata.

          The output format is selectable with the --verify-format option,
          which by default uses the rpm format, but that might  change  in
          the  future,  and  as  such programs parsing this command output
          should be explicit about the format they expect.

Таким чином, ви можете просто використовувати подібний синтаксис, як і yumдля здійснення перевірок, і отримувати результати у форматі rpm . Наприклад:

dpkg --verify openssh-server

або просто використовувати dpkg --verifyдля перевірки кожного пакета, встановленого у вашій системі.


PS

Біг, скажімо dpkg --verify bash, на моїй машині дав мені щось подібне. (Я працюю dpkg / 1.17.5)

??5?????? c /etc/bash.bashrc
??5?????? c /etc/skel/.bashrc

Здається, що пакети .deb містять лише метадані md5sums для перевірки.


що означають ці рядки? ??5?????? c...
rubo77

@ rubo77 Дивіться криптичний формат ftp.rpm.org/max-rpm/s1-rpm-verify-output.html .
pallxk

Добре, ??5??????значить, контрольна сума MD5 була іншою і c = "це конфігураційний файл"
rubo77

Якщо ви хочете використовувати лише попередження про модифіковані пакети, (не змінені конфігураційні файли)sudo dpkg -V | grep -v '??5?????? c'
rubo77

4

Є набір інструментів, які ви можете перевірити.

# apt-cache search debsums
debsums - tool for verification of installed package files against MD5 checksums

2

Зазвичай у мене є список файлів, які я хочу перевірити.
Ось ось проста функція bash, яка робить більш-менш те, що ви хочете:

dpkg-verify() {
    exitcode=0
    for file in $*; do
        pkg=`dpkg -S "$file" | cut -d: -f 1`
        hashfile="/var/lib/dpkg/info/$pkg.md5sums"
        if [ -s "$hashfile" ]; then
            rfile=`echo "$file" | cut -d/ -f 2-`
            phash=`grep -E "$rfile\$" "$hashfile" | cut -d\  -f 1`
            hash=`md5sum "$file" | cut -d\  -f 1`
            if [ "$hash" = "$phash" ]; then
                echo "$file: ok"
            else
                echo "$file: CHANGED"
                exitcode=1
            fi
        else
            echo "$file: UNKNOWN"
            exitcode=1
        fi
    done
    return $exitcode
}

Використовуйте так:

dpkg-verify /bin/ls /usr/bin/ld

Вихід з мого оточення:

/bin/ls: ok
/usr/bin/ld: UNKNOWN

Звичайно, слід написати досить подібний псевдонім / скрипт, щоб перевірити файли з певного пакету.



2

Я використовую цю команду для перевірки всіх пакетів:
dpkg -l | awk {'print $2'} | xargs | debsums | grep -v 'OK'

Вам знадобиться встановити пакунки debsumbs, gawk та findutils.


Я додаю деякі помилки (хоча як root):debsums: can't open fwupd file /var/lib/polkit-1/localauthority/10-vendor.d/fwupd.pkla (Permission denied) debsums: can't open geoclue-2.0 file /var/lib/polkit-1/localauthority/10-vendor.d/geoclue-2.0.pkla (Permission denied)
rubo77
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.