Может ли RPM управлять файлами в домашней папке без подтверждения?

Может ли RPM управлять файлами в домашней папке без подтверждения?

Файл расширения RPM можно запустить двойным щелчком мыши, независимо от того, что находится внутри пакета, а затем он запрашивает пароль root для установки чего-либо в вашей системе. Но если я его не введу, нанесет ли это какой-либо вред моим файлам в домашней папке?

Я уверен, что загрузил RPM с правильного URL, но меня беспокоит атака «Человек посередине» (Man-In-The-Middle). Файл размером 10 МБ далек от размера, который должен быть 100 МБ, как описано на официальном сайте. Возможно, сеанс загрузки был прерван из-за сбоя подключения к Интернету, или, может быть, дело в размере вредоносного ПО?

решение1

В принципе, любая программа, которую вы запускаете двойным щелчком мышиможетнанести вред файлам в вашей домашней папке (при условии, что у вас есть права на запись в нее, что является нормальным случаем).

Программа, которая вызывается при нажатии на RPM, с меньшей вероятностью является вредоносным ПО, поскольку она поставляется с установкой дистрибутива, но скрипты и исполняемые файлы в RPM могут содержать вредоносное ПО, и оно имеет доступ к вашему домашнему каталогу (или, точнее, к любым файлам, которые использует учетная запись пользователя, с помощью которой был открыт RPM).

Ваш вопрос, есливоляпричинить какой-либо вред нельзя ответить, так как это зависит от нескольких вещей, включая содержимое пакета. Хотя это может быть так, поэтому вам следует использовать RPM из надежных источников.

(Если RPM содержит вредоносное ПО, то предоставление пароля root позволит ему нанести еще больший ущерб).

решение2

Если у вас есть подозрения относительно каких-либо файлов, связанных с RPM, вам всегда следует сначала загрузить их и проверить перед установкой.

Пример

$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz

Эти файлы можно извлечь во временный каталог для дальнейшей проверки:

$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
  cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks

Затем мы можем более подробно осмотреть содержимое.

Проверка подписей

Вы можете подтвердить, что RPM подписан с помощью ключа GPG, который у вас уже есть. Если это так, то, скорее всего, RPM в полном порядке и ему можно доверять.

$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK

Обратите внимание, что в конце написано "sha1 md5 OK". Это означает, что RPM был подписан с помощью подписи и он проходит проверку как OK.

Если он потерпит неудачу, то это может произойти по разным причинам, например:

  1. не подписано
  2. подпись повреждена
  3. вам не хватает его ключа подписи
Например:
$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK

Подробная информация об использовании RPM таким образом более подробно обсуждается в руководстве Maxium RPM под названием:Максимальный RPM: доводим Red Hat Package Manager до предела.

Проверка вашей системы с помощью RPM

Для получения дополнительной информации о том, как использовать RPM для проверки файлов на предмет подделки, ознакомьтесь с этой статьей на SANS под названием:Часто задаваемые вопросы по обнаружению вторжений: проверка файлов с помощью RPM от Red Hat.

Рекомендации

решение3

Короче говоря - если выневведите свой пароль, когда его попросит программное обеспечение для установки RPM - содержимое файла RPM не будет проанализировано ине могунанести какой-либо вред вашей системе.

Если вы указали свой пароль (и являетесь администратором или указали пароль root), то RPM-файл можно использовать для установки вредоносного ПО в вашу систему, запуска его с правами администратора и доступа к любому файлу в вашей системе.

Всегда загружайте программное обеспечение от производителя программного обеспечения и проверяйте подписи RPM. К счастью, встроенный менеджер программного обеспечения в вашей операционной системе Linux сделает это автоматически, поэтому всегда пытайтесь сначала проверить, есть ли в менеджере программного обеспечения то, что вам нужно, прежде чем идти и загружать файлы из большого плохого интернета.

Связанный контент