O RPM é capaz de controlar os arquivos na pasta pessoal sem confirmação?

O RPM é capaz de controlar os arquivos na pasta pessoal sem confirmação?

O arquivo de extensão RPM pode ser executado clicando duas vezes, não importa o que esteja dentro do pacote, e então ele pede a senha de root para instalar algo em seu sistema, mas se eu não der, isso causará algum dano aos meus arquivos na pasta pessoal?

Tenho certeza que baixei o RPM da URL correta, mas estou preocupado com o ataque Man-In-The-Middle, o arquivo de 10 MB está longe do tamanho que deveria ter 100 MB conforme descrito no site oficial, então talvez baixe a sessão foi interrompida pela falha na conexão com a Internet ou talvez seja do tamanho de um malware?

Responder1

Em princípio, qualquer programa que você executa clicando duas vezespodedanificar os arquivos da sua pasta pessoal (supondo que você tenha permissões de gravação, o que é o caso normal).

O programa invocado ao clicar no RPM tem menos probabilidade de ser malware, pois veio com a instalação da distribuição, mas os scripts e executáveis ​​no RPM podem conter malware e têm acesso ao seu diretório inicial (ou, mais corretamente, a qualquer arquivos a conta de usuário com a qual o RPM foi clicado é aberta).

Sua pergunta sevaicausar qualquer dano não pode ser respondido, pois isso depende de várias coisas, incluindo o conteúdo do pacote. Pode ser, então você deve usar RPMs de fontes confiáveis.

(Se o RPM contiver malware, fornecer a senha de root permitiria causar ainda mais danos).

Responder2

Se você suspeitar de algum arquivo relacionado ao RPM, você deve sempre baixá-lo primeiro e inspecioná-lo antes de instalá-lo.

Exemplo

$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz

Esses arquivos podem ser extraídos para um diretório temporário para inspeção adicional:

$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
  cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks

Podemos então inspecionar melhor o conteúdo.

Verificando assinaturas

Você pode confirmar se o RPM está assinado usando uma chave GPG que você já possui. Nesse caso, é provável que o RPM esteja perfeitamente bom e seja confiável.

$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK

Observe que diz “sha1 md5 OK” no final. Isso significa que o RPM foi assinado com uma assinatura e foi verificado como OK.

Se falhar, pode ser por vários motivos, como:

  1. não assinado
  2. assinatura corrompida
  3. você está perdendo a chave de assinatura
Por exemplo:
$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK

Detalhes sobre como usar o RPM desta forma são discutidos mais detalhadamente no tutorial do Maxium RPM, intitulado:RPM Máximo: Levando o Gerenciador de Pacotes Red Hat ao Limite.

Verificando seu sistema usando RPM

Para ler mais sobre como usar o RPM para verificar se seus arquivos foram adulterados, dê uma olhada neste artigo no SANS intitulado:Perguntas frequentes sobre detecção de invasões: verificando arquivos com o RPM da Red Hat.

Referências

Responder3

Resumindo - se vocênãoforneça sua senha quando solicitado pelo software de instalação RPM - o conteúdo do arquivo RPM não será analisado enão podeprejudicar seu sistema de alguma forma.

Se você fornecer sua senha (e for um administrador ou tiver fornecido a senha de root), o RPM poderá ser usado para instalar software malicioso em seu sistema, executá-lo com permissões de administrador e acessar qualquer arquivo em seu sistema.

Sempre certifique-se de baixar o software do fabricante do software e verificar as assinaturas RPM. Felizmente, o gerenciador de software integrado em seu sistema operacional Linux fará isso automaticamente para você, então sempre tente primeiro ver se o gerenciador de software tem o que você precisa antes de baixar arquivos da grande Internet ruim.

informação relacionada