%EC%99%80%20%EA%B0%99%EC%9D%80%20%EB%AA%A8%EB%93%A0%20%ED%8C%8C%EC%9D%BC%2F%ED%8C%A8%ED%82%A4%EC%A7%80%EB%A5%BC%20%EA%B2%80%EC%A6%9D%ED%95%A0%20%EC%88%98%20%EC%9E%88%EB%8A%94%20Linux%EB%8A%94%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
# debsums -a, --all check configuration files (normally excluded)
그런데 tmp-dir 뿐만 아니라 여기저기에 임시, 보조 파일들이 대량으로 존재하고 있습니다.
기본적으로 비활성화할 수 없는 약 4,000개의 Python 바이너리 .pyc 파일:
# cat /etc/python/debian_config
# standard, optimize
byte-compile = standard
등...
내 컴퓨터에 설치된 각 파일을 안전하게 확인할 수 있는 기능을 갖춘 온라인 저장소가 있는 Linux 배포판이 있습니까?
내가 얘기하는거야패키지 관리자감염을 예방/감지할 수 있는 최신 암호화 기능을 갖춘 호스트 기반 침입 탐지 시스템과 같습니다.
답변1
RPM 기반 시스템에는 rpm -q --verify유사한 작업을 수행하는 이 있습니다.
그러나 나는 이러한 기능 중 어느 것도 IDS에 대한 적절한 대안이 아니라고 생각합니다. 중요한 문제는 체크섬이 문제의 컴퓨터에 있으므로 컴퓨터가 손상된 경우 로컬 체크섬을 신뢰할 수 없다는 것입니다.
인터넷 저장소에서 새로운 체크섬을 얻을 수도 있지만 여전히 패키지 체크섬을 사용하는 방법이 잘못된 것 같습니다.
훨씬 더 나은 옵션은 다음과 같은 전용 파일 무결성 검사기를 사용하는 것입니다.보좌관또는트립와이어. 이러한 도구를 사용하면 시스템이 양호한 상태로 전환된 후 시스템의 체크섬을 계산한 다음 나중에 비교할 수 있도록 이동식 읽기 전용 미디어(예: CD-R)에 저장할 수 있습니다.
/etc패키지 체크섬 방법의 또 다른 문제점은 파일과 같은 항목을 의도적으로 변경하는 것으로 알려져 있기 때문에 파일 과 같은 항목을 검사할 것으로 기대할 수 없다는 것입니다 . AIDE와 같은 것을 사용하면 체크섬을 계산할 수 있습니다.~ 후에이러한 파일의 기본 버전을 변경하면 변경이 예상되었는지 여부를 자신있게 말할 수 있습니다.
그렇다고 패키지 체크섬 확인이 쓸모없다는 말은 아닙니다. 단지 악의적인 수정을 탐지하기 위한 것이 아닙니다. 이는 우발적인 변경 사항을 감지하여 수정할 수 있도록 하기 위한 것입니다. 예를 들어, 누군가가 함부로 chmod -R명령을 내린 다음 Ctrl-C명령이 실행되기 전에 실수를 깨닫고 한참 동안 눌렀을 수 있으므로 패키지를 확인하여 어떤 패키지의 파일 권한이 삭제되었는지 알아보세요.
답변2
나는 Warren의 솔루션(AIDE)을 선호하지만 정말로 시스템을 감시하고 싶다면 CFEngine이나 파생 제품(Puppet, Chef, saltstack 등)을 사용하여 파일 시스템의 전체 내용을 관리하세요. 패키지 관리자를 사용하여 파일을 설치하고, 구성 관리 시스템을 사용하여 모든 구성 파일의 내용을 관리하고, 구성 시스템 외부에 변경 사항이 있을 때 경고합니다(또는 다시 변경할 수도 있음). 하지만 더 깊이 들어갈수록 솔루션이 더 복잡해집니다. 시스템과 그 안의 모든 파일을 완벽하게 관리하는 것은 정말 큰 일입니다. CFEngine은 파일의 체크섬을 학습하고 상황이 변경될 때 알림을 받는 것만큼 내용에 관심이 없다면 파일을 볼 수도 있습니다. 다른 것들도 비슷한 기능을 가지고 있지만 속도가 느려질 것입니다. Puppet을 사용하여 자주 재귀적인 파일 시스템 모니터링을 수행하고 싶지는 않다는 점을 말씀드릴 수 있습니다. 그리고 다시 말하지만, 다양한 도구에 대한 학습 곡선이 다릅니다. AIDE는 배우기 매우 쉽고, CFEngine은 사소한 도전일 수 있습니다.