¿Qué tipo de Linux puede verificar todos sus archivos/paquetes como debsums(Debian), pero más?

¿Qué tipo de Linux puede verificar todos sus archivos/paquetes como debsums(Debian), pero más?
# debsums -a, --all  check configuration files (normally excluded)

Sin embargo, hay una gran cantidad de archivos auxiliares temporales aquí y allá, no solo en tmp-dir.

Alrededor de 4000 archivos binarios .pyc de Python, que no se pueden desactivar de forma predeterminada:

# cat /etc/python/debian_config  
# standard, optimize 
byte-compile = standard

etc...

¿Existe alguna distribución de Linux que tenga repositorios en línea con capacidad para verificar cada archivo instalado en mi máquina de forma segura?

estoy hablando deadministrador de paquetescomo el sistema de detección de intrusiones basado en host con criptografía moderna capaz de prevenir/detectar cualquier infección.

Respuesta1

Los sistemas basados ​​en RPM tienen rpm -q --verify, que hace cosas similares.

Sin embargo, no creo que ninguna de estas funciones sea una alternativa adecuada a un IDS. El problema clave es que las sumas de verificación están en la máquina en cuestión, por lo que si ha sido comprometida, no puedes confiar en las sumas de verificación locales.

Tal vez pueda obtener sumas de verificación nuevas de los repositorios de Internet, pero sigo pensando que lo está haciendo de manera incorrecta al usar sumas de verificación de paquetes para esto.

Una opción mucho mejor es utilizar un verificador de integridad de archivos dedicado comoAYUDANTEoCable trampa. Estas herramientas le permiten calcular las sumas de verificación en el sistema una vez que lo ha puesto en buen estado y luego almacenarlas en medios extraíbles de sólo lectura (por ejemplo, CD-R) para compararlas más adelante.

Otro problema con el método de suma de comprobación del paquete es que no se puede esperar que verifique cosas como /etcarchivos, ya que se sabe que cambian intencionalmente el contenido original. Con algo como AIDE, calculas las sumas de verificacióndespuésusted realiza cambios en las versiones originales de estos archivos, de modo que pueda decir con seguridad si se esperaba un cambio o no.

Eso no quiere decir que la verificación de la suma de verificación del paquete sea inútil. Es sólo que no está destinado a detectar modificaciones maliciosas. Es para detectar cambios accidentales, para que puedan corregirse. Por ejemplo, alguien podría haber ejecutado un chmod -Rcomando torpe y luego presionar Ctrl-Cantes de que se ejecutara durante mucho tiempo una vez que se dio cuenta de su error, por lo que verifica los paquetes para descubrir qué permisos de archivos de los paquetes fueron eliminados.

Respuesta2

Prefiero la solución de Warren (AIDE), pero si realmente desea vigilar su sistema, use algo como CFEngine o un derivado (Puppet, Chef, saltstack, lo que sea) para administrar todo el contenido de su sistema de archivos. Utilice un administrador de paquetes para instalar archivos, un sistema de administración de configuración para administrar el contenido de todos los archivos de configuración y avise cuando algo cambie fuera de su sistema de configuración (y probablemente también vuelva a cambiar las cosas). Sin embargo, cuanto más profundizas, más complicada es la solución. Administrar completamente un sistema y todos los archivos que contiene es una tarea realmente grande. CFEngine puede aprender sumas de verificación de archivos y observarlos por usted también, si no le importa tanto el contenido como simplemente recibir notificaciones cuando las cosas cambian. Los otros probablemente tengan una funcionalidad similar, pero serán más lentos. Puedo decirle que realmente no desea realizar un monitoreo recursivo frecuente del sistema de archivos con Puppet. Por otra parte, las curvas de aprendizaje para diferentes herramientas son diferentes. AIDE es bastante fácil de aprender, CFEngine puede ser un desafío menor.

información relacionada