O RPM é capaz de controlar os arquivos na pasta pessoal sem confirmação?

Em princípio, qualquer programa que você executa clicando duas vezespodedanificar os arquivos da sua pasta pessoal (supondo que você tenha permissões de gravação, o que é o caso normal).

O programa invocado ao clicar no RPM tem menos probabilidade de ser malware, pois veio com a instalação da distribuição, mas os scripts e executáveis ​​no RPM podem conter malware e têm acesso ao seu diretório inicial (ou, mais corretamente, a qualquer arquivos a conta de usuário com a qual o RPM foi clicado é aberta).

Sua pergunta sevaicausar qualquer dano não pode ser respondido, pois isso depende de várias coisas, incluindo o conteúdo do pacote. Pode ser, então você deve usar RPMs de fontes confiáveis.

(Se o RPM contiver malware, fornecer a senha de root permitiria causar ainda mais danos).

Se você suspeitar de algum arquivo relacionado ao RPM, você deve sempre baixá-lo primeiro e inspecioná-lo antes de instalá-lo.

Exemplo

$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz

Esses arquivos podem ser extraídos para um diretório temporário para inspeção adicional:

$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
  cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks

Podemos então inspecionar melhor o conteúdo.

Verificando assinaturas

Você pode confirmar se o RPM está assinado usando uma chave GPG que você já possui. Nesse caso, é provável que o RPM esteja perfeitamente bom e seja confiável.

$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK

Observe que diz “sha1 md5 OK” no final. Isso significa que o RPM foi assinado com uma assinatura e foi verificado como OK.

Se falhar, pode ser por vários motivos, como:

1. não assinado
2. assinatura corrompida
3. você está perdendo a chave de assinatura

Por exemplo:

$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK

Detalhes sobre como usar o RPM desta forma são discutidos mais detalhadamente no tutorial do Maxium RPM, intitulado:RPM Máximo: Levando o Gerenciador de Pacotes Red Hat ao Limite.

Verificando seu sistema usando RPM

Para ler mais sobre como usar o RPM para verificar se seus arquivos foram adulterados, dê uma olhada neste artigo no SANS intitulado:Perguntas frequentes sobre detecção de invasões: verificando arquivos com o RPM da Red Hat.

Referências

• 10.3. Verificando a assinatura de um pacote
• Como: Extrair arquivos de um pacote RPM sem instalá-lo

Resumindo - se vocênãoforneça sua senha quando solicitado pelo software de instalação RPM - o conteúdo do arquivo RPM não será analisado enão podeprejudicar seu sistema de alguma forma.

Se você fornecer sua senha (e for um administrador ou tiver fornecido a senha de root), o RPM poderá ser usado para instalar software malicioso em seu sistema, executá-lo com permissões de administrador e acessar qualquer arquivo em seu sistema.

Sempre certifique-se de baixar o software do fabricante do software e verificar as assinaturas RPM. Felizmente, o gerenciador de software integrado em seu sistema operacional Linux fará isso automaticamente para você, então sempre tente primeiro ver se o gerenciador de software tem o que você precisa antes de baixar arquivos da grande Internet ruim.