RPM は確認なしでホームフォルダー内のファイルを制御できますか?

Question 1

原則としてダブルクリックで実行するプログラムできるホームフォルダー内のファイルに損害を与えます (通常は、そこに書き込み権限があることを前提とします)。

RPM をクリックして呼び出されるプログラムは、ディストリビューションのインストールに付属しているため、マルウェアである可能性は低くなりますが、RPM 内のスクリプトと実行可能ファイルにはマルウェアが含まれている可能性があり、それらはホームディレクトリ (より正確には、RPM をクリックしたユーザーアカウントで開かれるすべてのファイル) にアクセスできます。

あなたの質問は意思害を及ぼすかどうかは、パッケージの内容などいくつかの要因に依存するため、答えることはできません。ただし、害を及ぼす可能性もあるため、信頼できるソースからの RPM を使用する必要があります。

(RPM にマルウェアが含まれている場合、ルートパスワードを与えるとさらに大きな被害が発生する可能性があります)。

Answer

原則としてダブルクリックで実行するプログラムできるホームフォルダー内のファイルに損害を与えます (通常は、そこに書き込み権限があることを前提とします)。

RPM をクリックして呼び出されるプログラムは、ディストリビューションのインストールに付属しているため、マルウェアである可能性は低くなりますが、RPM 内のスクリプトと実行可能ファイルにはマルウェアが含まれている可能性があり、それらはホームディレクトリ (より正確には、RPM をクリックしたユーザーアカウントで開かれるすべてのファイル) にアクセスできます。

あなたの質問は意思害を及ぼすかどうかは、パッケージの内容などいくつかの要因に依存するため、答えることはできません。ただし、害を及ぼす可能性もあるため、信頼できるソースからの RPM を使用する必要があります。

(RPM にマルウェアが含まれている場合、ルートパスワードを与えるとさらに大きな被害が発生する可能性があります)。

Question 2

RPM 関連のファイルに疑わしい点がある場合は、インストールする前に必ず最初にダウンロードして検査してください。

例

$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz

これらのファイルは、さらに検査するために一時ディレクトリに抽出できます。

$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
  cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks

その後、内容をさらに詳しく検査することができます。

署名の確認

すでに持っている GPG キーを使用して RPM が署名されていることを確認できます。署名されている場合、RPM は完全に正常であり、信頼できる可能性があります。

$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK

最後に「sha1 md5 OK」と表示されていることに注意してください。これは、RPM が署名付きで署名されており、問題がないことを意味します。

失敗する場合は、次のようなさまざまな理由が考えられます。

署名なし
署名が壊れています
署名キーがありません

例えば：

$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK

この方法で RPM を使用する方法の詳細については、次のタイトルの Maxium RPM チュートリアルで詳しく説明されています。最大 RPM: Red Hat パッケージマネージャーを限界まで活用する。

RPM を使用してシステムを検証する

RPM を使用してファイルが改ざんされていないかどうかを確認する方法の詳細については、SANS の次の記事を参照してください。侵入検知に関する FAQ: Red Hat の RPM を使用したファイルの検証。

参考文献

Answer

RPM 関連のファイルに疑わしい点がある場合は、インストールする前に必ず最初にダウンロードして検査してください。

例

$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz

これらのファイルは、さらに検査するために一時ディレクトリに抽出できます。

$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
  cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks

その後、内容をさらに詳しく検査することができます。

署名の確認

すでに持っている GPG キーを使用して RPM が署名されていることを確認できます。署名されている場合、RPM は完全に正常であり、信頼できる可能性があります。

$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK

最後に「sha1 md5 OK」と表示されていることに注意してください。これは、RPM が署名付きで署名されており、問題がないことを意味します。

失敗する場合は、次のようなさまざまな理由が考えられます。

署名なし
署名が壊れています
署名キーがありません

例えば：

$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK

この方法で RPM を使用する方法の詳細については、次のタイトルの Maxium RPM チュートリアルで詳しく説明されています。最大 RPM: Red Hat パッケージマネージャーを限界まで活用する。

RPM を使用してシステムを検証する

RPM を使用してファイルが改ざんされていないかどうかを確認する方法の詳細については、SANS の次の記事を参照してください。侵入検知に関する FAQ: Red Hat の RPM を使用したファイルの検証。

参考文献

Question 3

つまり、もしあなたがしないRPMインストールソフトウェアからパスワードを求められた場合は、パスワードを入力してください。RPMファイルの内容は解析されず、できないシステムに何らかの損害を与えることはありません。

パスワードを入力した場合（管理者であるか、ルートパスワードを入力した場合）、RPM を使用してシステムに悪意のあるソフトウェアをインストールし、管理者権限で実行して、システム上の任意のファイルにアクセスできるようになります。

必ずソフトウェア製造元からソフトウェアをダウンロードし、RPM 署名を確認してください。幸い、Linux オペレーティングシステムに組み込まれているソフトウェアマネージャーはこれを自動的に実行します。そのため、インターネットからファイルをダウンロードする前に、ソフトウェアマネージャーに必要なものが含まれているかどうかを必ず最初に確認してください。

Answer

つまり、もしあなたがしないRPMインストールソフトウェアからパスワードを求められた場合は、パスワードを入力してください。RPMファイルの内容は解析されず、できないシステムに何らかの損害を与えることはありません。

パスワードを入力した場合（管理者であるか、ルートパスワードを入力した場合）、RPM を使用してシステムに悪意のあるソフトウェアをインストールし、管理者権限で実行して、システム上の任意のファイルにアクセスできるようになります。

必ずソフトウェア製造元からソフトウェアをダウンロードし、RPM 署名を確認してください。幸い、Linux オペレーティングシステムに組み込まれているソフトウェアマネージャーはこれを自動的に実行します。そのため、インターネットからファイルをダウンロードする前に、ソフトウェアマネージャーに必要なものが含まれているかどうかを必ず最初に確認してください。

RPM は確認なしでホームフォルダー内のファイルを制御できますか?

答え1

答え2

例

署名の確認

RPM を使用してシステムを検証する

参考文献

答え3

関連情報