Linux - Friheden til sikkerhed på internettet: Version 2.9.20060510 - 2020-12-31 | ||
---|---|---|
forrige | Kapitel 5. Har du haft net-indbrud? | næste |
Med Linux-distributionerne SuSE, Caldera Open Linux, Mandrake og Red Hat følger programmet "rpm", som er et pakkestyringsprogram. Rpm holder styr på, hvad der er installeret. Samtidig er der mulighed for at holde styr på ændringer af filerne. Du kan tjekke alle RPM-styrede filer med kommandoen "rpm -Va". Denne kommando vil tjekke for følgende ændringer siden installation:
S - Ændringer af filstørrelse
M - Mode - Ændringer i permissions og filtype
5 - Tjek af MD5-sum
? - Normalt problemer med at læse filen
L - Symlink
D - Device ændringer
U - User - Ændringer i ejerskab
G - Group - Ændringer i gruppeejerskab
T - Mtime - Modifikationstidspunkt
missing - Hvis en fil er forsvundet
c - Opsætningsfil.
. - Testen gik fint.
Bogstaverne til venstre er dem, der vises på skærmen, når man kører rpm -Va. Alle de filer, der er ændret i siden installationen, bliver vist. Hver af de ændrede filer vises efter formatet "SM5?LDUGT c filnavn", hvor hver af bogstaverne er forklaret ovenfor. Hvis den enkelte test gik godt, vises et punktum, ellers vises det bogstav for testen, der gik galt. Et typisk output kan være (i forkortet form)
Eksempel 5-8. rpm -Va
..?..... c /etc/securetty S.5....T c /etc/services ....L... /usr/local .M...... /usr/local/bin .M...... /usr/local/lib ..?..... /usr/share/afterstep/ascp/help/animate.hlp ..?..... /usr/share/afterstep/ascp/help/audio.hlp ..?..... /usr/share/afterstep/ascp/help/autoexec.hlp ..?..... /usr/share/afterstep/ascp/help/pager.hlp missing /usr/share/afterstep/ascp/icons/wharf2.xpm missing /usr/share/afterstep/ascp/icons/woptions.xpm ....L... c /etc/localtime ......G. /etc/aliases.db S.5....T c /etc/rc.d/init.d/sendmail S.5....T c /etc/sendmail.cf S.5....T c /etc/sendmail.cw ..5....T c /etc/sysconfig/sendmail S.5....T /var/log/sendmail.st
Nu er det op til dig, som systemadministrator, at vurdere hvilke ændringer, der er i orden, og hvilke, der kan være farlige. Der vil altid være ændringer, siden pakkerne er installeret, men nogle af ændringerne må gerne være der. Du ved forhåbentlig nogenlunde, hvad du selv har ændret. Ændringer, du ikke selv kan huske at have foretaget, kan vurderes ud fra, hvor filerne ligger og hvilken type filer, det drejer sig om. F.eks. virker filerne i /usr/share/afterstep/ ikke særlig farlige. Det er nok bare noget opsætning af Window manageren Afterstep. Tegnet "?" tyder på at problemet i skyldes, at brugeren, der har udført kommandoen, ikke har rettigheder til at læse /etc/securetty og de fire hlp-filer. Vi kan se, at dette faktisk er tilfældet
[robin@hven robin]$ ls -al /etc/securetty -rw------- 1 root root 40 Sep 4 1995 /etc/securetty
Om filerne faktisk er ændrede, kan vi således først se, hvis vi kører "rpm -Va" som root. Vi kan også se, at der åbenbart mangler to xpm-filer (billeder) i "/usr/share/afterstep/ascp/icons".
Næste punkt er at kataloget /usr/local efter installation faktisk blev flyttet til en anden partition, så det er fint, at der er meldt fejl der. Filen /etc/localtime er et symbolsk link og en opsætningsfil ("L" og det lille "c"). Da Linux blev installeret, skulle man vælge hvilken tidszone man var i - og så ændrede filen sig naturligvis. Kun ved at se hvor linket peger hen, kan man se, at det nok _nu_ er i orden. Bemærk, at linket senere kan ændres til at pege på noget andet, måske noget "farligt", men vi vil stadig kun se samme fejl-meddelelse.
lrwxrwxrwx 1 root root 39 May 15 16:27 /etc/localtime -> ../usr/share/zoneinfo/Europe/Copenhagen
Det ses også, at en stribe sendmail-filer er blevet ændret. Det passer med, hvad jeg som systemadministrator på maskinen ved, at der er lavet - men bemærk dog, at der kan være senere ændringer af de samme filer. På denne måde kan vi fortsætte. Viden om systemet er med andre ord nødvendig, men rpm er er godt sted at starte.
Ovenstående gennemgang med "rpm -Va" afslørede et grimt problem. Efter systeminstallation og systemtilpasning er der allerede sket en del ændringer. Man kan måske ikke overskue, hvad der er farlige ændringer, og hvilke der er banale. Et andet problem er, at "rpm -Va" ikke kan kontrollere programmer på systemet, der er installeret udenom rpm, såsom WordPerfect og StarOffice. Hvad værre er, så kan man teoretisk tænke sig, at en cracker afinstallerede en pakke, og installerede en farlig rpm-pakke i stedet for, hvor alle tjek med rpm gik glat. Eller installerede en falsk udgave af selve rpm programmet! Derfor er det ønskeligt at få et godt supplement til rpm.
Desuden er der Linux-distributioner, der ikke bruger rpm, f.eks. Slackware og Debian.