Kann RPM die Dateien im Home-Ordner ohne Bestätigung steuern?

tag-icon tag-icon rpm malware
Kann RPM die Dateien im Home-Ordner ohne Bestätigung steuern?

Die RPM-Erweiterungsdatei kann durch Doppelklicken ausgeführt werden, unabhängig vom Inhalt des Pakets. Anschließend werde ich nach dem Root-Passwort gefragt, um etwas auf Ihrem System zu installieren. Wenn ich es jedoch nicht eingebe, entstehen dann meine Dateien im Home-Ordner Schäden?

Ich bin sicher, dass ich das RPM von der richtigen URL heruntergeladen habe, aber ich mache mir Sorgen wegen eines Man-In-The-Middle-Angriffs. Die 10 MB große Datei ist weit von der Größe entfernt, sie sollte 100 MB groß sein, wie auf der offiziellen Website beschrieben. Vielleicht wurde die Download-Sitzung also aufgrund einer fehlgeschlagenen Internetverbindung unterbrochen, oder vielleicht liegt es an der Größe der Schadsoftware?

Antwort1

Im Prinzip jedes Programm, das Sie per Doppelklick startendürfendie Dateien in Ihrem Home-Ordner beschädigen (vorausgesetzt, Sie verfügen dort über Schreibrechte, was der Normalfall ist).

Bei dem Programm, das durch Klicken auf das RPM aufgerufen wird, handelt es sich wahrscheinlich nicht um Schadsoftware, da es bei der Installation der Distribution dabei war. Die Skripte und ausführbaren Dateien im RPM können jedoch Schadsoftware enthalten und diese haben Zugriff auf Ihr Home-Verzeichnis (oder genauer gesagt auf alle Dateien, die mit dem Benutzerkonto geöffnet werden, mit dem auf das RPM geklickt wird).

Ihre Frage, obWilleOb es zu Schäden kommt, kann nicht beantwortet werden, da dies von mehreren Faktoren abhängt, einschließlich des Paketinhalts. Es kann jedoch sein, dass es Schaden anrichtet, daher sollten Sie RPMs aus vertrauenswürdigen Quellen verwenden.

(Wenn das RPM Malware enthält, könnte durch die Angabe des Root-Passworts noch größerer Schaden angerichtet werden.)

Antwort2

Wenn Ihnen RPM-bezogene Dateien verdächtig vorkommen, sollten Sie diese immer zuerst herunterladen und überprüfen, bevor Sie sie installieren.

Beispiel

$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz

Diese Dateien können zur weiteren Überprüfung in ein temporäres Verzeichnis extrahiert werden:

$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
  cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks

Wir können den Inhalt dann genauer prüfen.

Signaturen prüfen

Sie können mit einem GPG-Schlüssel, den Sie bereits besitzen, bestätigen, dass das RPM signiert ist. Wenn das der Fall ist, ist das RPM wahrscheinlich in Ordnung und vertrauenswürdig.

$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK

Beachten Sie, dass am Ende „sha1 md5 OK“ steht. Das bedeutet, dass das RPM mit einer Signatur versehen wurde und als OK geprüft wird.

Wenn dies fehlschlägt, kann dies verschiedene Gründe haben, beispielsweise:

  1. nicht unterschrieben
  2. Signatur beschädigt
  3. Ihnen fehlt der Signaturschlüssel
Zum Beispiel: 
$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK

Einzelheiten zur Verwendung von RPM auf diese Weise werden im Maxium RPM-Tutorial mit dem Titel „Weitere Informationen“ erläutert:Maximale Drehzahl: Den Red Hat Package Manager ans Limit bringen.

Überprüfen Ihres Systems mit RPM

Weitere Informationen zur Verwendung von RPM zum Überprüfen, ob Ihre Dateien manipuliert wurden, finden Sie in diesem Artikel auf SANS mit dem Titel:Häufig gestellte Fragen zur Angriffserkennung: Überprüfen von Dateien mit Red Hats RPM.

Verweise

Antwort3

Kurz gesagt - wenn SienichtGeben Sie Ihr Passwort ein, wenn Sie von der RPM-Installationssoftware danach gefragt werden - der Inhalt der RPM-Datei wird nicht analysiert undkann nichtIhr System in irgendeiner Weise zu schädigen.

Wenn Sie Ihr Kennwort eingeben (und Sie Administrator sind oder das Root-Kennwort eingegeben haben), kann das RPM verwendet werden, um Schadsoftware auf Ihrem System zu installieren, sie mit Administratorrechten auszuführen und auf alle Dateien auf Ihrem System zuzugreifen.

Stellen Sie immer sicher, dass Sie Software vom Softwarehersteller herunterladen und RPM-Signaturen überprüfen. Glücklicherweise erledigt der integrierte Software-Manager Ihres Linux-Betriebssystems dies automatisch für Sie. Versuchen Sie also immer zuerst, zu prüfen, ob der Software-Manager das hat, was Sie brauchen, bevor Sie Dateien aus dem großen, bösen Internet herunterladen.

verwandte Informationen