¿RPM puede controlar los archivos en la carpeta de inicio sin confirmación?

¿RPM puede controlar los archivos en la carpeta de inicio sin confirmación?

El archivo de extensión RPM se puede ejecutar haciendo doble clic sin importar lo que haya dentro del paquete, y luego solicita la contraseña de root para poder instalar algo en su sistema, pero si no la doy, ¿causará algún daño a mis archivos? en la carpeta de inicio?

Estoy seguro de que descargué el RPM de la URL correcta, pero me preocupa el ataque Man-In-The-Middle, el archivo de 10 MB está muy lejos del tamaño que debería ser de 100 MB como lo describe el sitio web oficial, así que tal vez descargue La sesión se detuvo porque falló la conexión a Internet, ¿o tal vez sea del tamaño del malware?

Respuesta1

En principio cualquier programa lo ejecutas haciendo doble clicpoderdañar los archivos en su carpeta de inicio (suponiendo que tenga permisos de escritura allí, que es el caso normal).

Es menos probable que el programa que se invoca al hacer clic en el RPM sea malware, ya que vino con la instalación de la distribución, pero los scripts y ejecutables en el RPM pueden contener malware y tienen acceso a su directorio personal (o más correctamente a cualquier archivos se abre la cuenta de usuario con la que se hace clic en el RPM).

Tu pregunta sivoluntadcausar algún daño no se puede responder, ya que eso depende de varias cosas, incluido el contenido del paquete. Sin embargo, podría ser así, por lo que debería utilizar RPM de fuentes confiables.

(Si el RPM contiene malware, proporcionar la contraseña de root le permitiría causar aún más daño).

Respuesta2

Si sospecha de algún archivo relacionado con RPM, siempre debe descargarlo primero e inspeccionarlo antes de instalarlo.

Ejemplo

$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz

Estos archivos se pueden extraer a un directorio temporal para una inspección más detallada:

$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
  cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks

Luego podemos inspeccionar el contenido más a fondo.

Comprobando firmas

Puede confirmar que el RPM esté firmado utilizando una clave GPG que ya tenga. Si es así, es probable que el RPM esté perfectamente bien y se pueda confiar en él.

$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK

Observe que dice "sha1 md5 OK" al final. Eso significa que el RPM se firmó con una firma y está correcto.

Si falla, puede ser por diversas razones, como por ejemplo:

  1. No firmado
  2. firma corrupta
  3. te falta su clave de firma
Por ejemplo:
$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK

Los detalles sobre el uso de RPM de esta manera se analizan con más detalle en el tutorial de Maxium RPM, titulado:RPM máximas: llevando el administrador de paquetes de Red Hat al límite.

Verificando su sistema usando RPM

Para leer más sobre cómo usar RPM para verificar si sus archivos han sido manipulados, eche un vistazo a este artículo sobre SANS titulado:Preguntas frecuentes sobre detección de intrusiones: verificación de archivos con RPM de Red Hat.

Referencias

Respuesta3

En resumen - si ustednoproporcione su contraseña cuando se la solicite el software de instalación de RPM; el contenido del archivo RPM no se analizará yno puedodañar su sistema de ninguna manera.

Si proporciona su contraseña (y es administrador o proporcionó la contraseña de root), entonces el RPM se puede utilizar para instalar software malicioso en su sistema, ejecutarlo con permisos de administrador y acceder a cualquier archivo de su sistema.

Asegúrese siempre de descargar el software del fabricante del software y verificar las firmas RPM. Afortunadamente, el administrador de software integrado en su sistema operativo Linux hará esto automáticamente, así que siempre intente primero ver si el administrador de software tiene lo que necesita antes de descargar archivos del gran Internet.

información relacionada