Может ли dpkg проверять файлы из установленного пакета?

31

С помощью rpm -qV openssh-serverя получу список файлов, которые изменились по сравнению с настройками по умолчанию.

~$ rpm -qV openssh-server
S.?....T.  c /etc/ssh/sshd_config
~$

Может dpkgна Ubuntu сделать то же самое?

linux ubuntu debian rpm dpkg Sandra
источник

Ответы:

21

Я так не думаю, в Ubuntu md5 контрольные суммы хранятся только для определенных файлов. Для любого данного пакета список файлов с контрольными суммами можно найти в

/var/lib/dpkg/info/<package>.md5sums

например

/var/lib/dpkg/info/openssh-server.md5sums

Как правило, они не содержат полный список файлов, которые были установлены пакетом, например openssh-server.md5sums

bb5096cf79a43b479a179c770eae86d8  usr/lib/openssh/sftp-server
42da5b1c2de18ec8ef4f20079a601f28  usr/sbin/sshd
8c5592e0d522fa0f8f55f3c104479ef5  usr/share/lintian/overrides/openssh-server
cfcb67f58bcd1edcaa5a770863e49304  usr/share/man/man5/sshd_config.5.gz
71a51cbb514da3044b277e05a3ceaf0b  usr/share/man/man8/sshd.8.gz
222d4da61fcb3c65b4e6e83944752f20  usr/share/man/man8/sftp-server.8.gz

Вы можете использовать команду debsums (sudo apt-get install debsums), чтобы проверить файлы, имеющие подписи md5

debsums openssh-server
/usr/lib/openssh/sftp-server                                                  OK
/usr/sbin/sshd                                                                OK
/usr/share/lintian/overrides/openssh-server                                   OK
/usr/share/man/man5/sshd_config.5.gz                                          OK
/usr/share/man/man8/sshd.8.gz                                                 OK
/usr/share/man/man8/sftp-server.8.gz                                          OK
user9517 поддерживает GoFundMonica
источник
В md5sums пропущены конфигурационные файлы (те, которые находятся в / etc), потому что вы должны их изменить.
Псуси
Да, файл / etc / ssh / sshd_config, например, генерируется скриптом. Под CentOS, хотя файлы конфигурации по умолчанию имеют md5sums.
user9517 поддерживает GoFundMonica
5
Контрольные суммы md5 для конфигурационных файлов хранятся в / var / lib / dpkg / status . «dpkg -V» проверит контрольные суммы всех файлов в системе, включая файлы conf.
Bain
25

Как и в dpkg / 1.17.2, он реализует --verifyопцию, согласно этому отчету об ошибках Debian .

Обратите внимание, что это относительно новое изменение в dpkg. Date: Thu, 05 Dec 2013 04:56:31 +0100строка в пакете dpkg v1.17.2 показывает это.

Вот краткое описание --verifyдействий, приведенных на странице руководства dpkg.

   -V, --verify [package-name...]
          Verifies  the integrity of package-name or all packages if omit‐
          ted, by comparing information from the installed paths with  the
          database metadata.

          The output format is selectable with the --verify-format option,
          which by default uses the rpm format, but that might  change  in
          the  future,  and  as  such programs parsing this command output
          should be explicit about the format they expect.

Таким образом, вы можете просто использовать синтаксис, аналогичный in, yumдля выполнения проверок и получения результатов в формате rpm . Например:

dpkg --verify openssh-server

или просто используйте dpkg --verifyдля проверки каждого пакета, установленного в вашей системе.

PS

Запуск, скажем dpkg --verify bash, на моей машине дал мне нечто подобное. (Я использую dpkg / 1.17.5)

??5?????? c /etc/bash.bashrc
??5?????? c /etc/skel/.bashrc

Похоже, что пакеты .deb содержат только метаданные md5sums для проверки.

pallxk
источник
что означают эти строки? ??5?????? c...
rubo77
@ rubo77 Зашифрованный формат см. на ftp.rpm.org/max-rpm/s1-rpm-verify-output.html .
pallxk
ОК, ??5??????значит: контрольная сумма MD5 была другой и c = "это файл конфигурации"
rubo77
Если вы хотите только предупреждения об измененных пакетах, (не измененные файлы конфигурации) используйтеsudo dpkg -V | grep -v '??5?????? c'
rubo77
4

Есть инструменты, которые вы можете проверить.

# apt-cache search debsums
debsums - tool for verification of installed package files against MD5 checksums
Хрвое Шполяр
источник
2

Обычно у меня есть список файлов, которые я хочу проверить.
Итак, вот простая функция bash, которая делает более или менее то, что вы хотите:

dpkg-verify() {
    exitcode=0
    for file in $*; do
        pkg=`dpkg -S "$file" | cut -d: -f 1`
        hashfile="/var/lib/dpkg/info/$pkg.md5sums"
        if [ -s "$hashfile" ]; then
            rfile=`echo "$file" | cut -d/ -f 2-`
            phash=`grep -E "$rfile\$" "$hashfile" | cut -d\  -f 1`
            hash=`md5sum "$file" | cut -d\  -f 1`
            if [ "$hash" = "$phash" ]; then
                echo "$file: ok"
            else
                echo "$file: CHANGED"
                exitcode=1
            fi
        else
            echo "$file: UNKNOWN"
            exitcode=1
        fi
    done
    return $exitcode
}

Используйте как это:

dpkg-verify /bin/ls /usr/bin/ld

Вывод на мою среду:

/bin/ls: ok
/usr/bin/ld: UNKNOWN

Конечно, должно быть довольно просто написать аналогичный псевдоним / скрипт для проверки файлов из определенного пакета.

Magentron
источник
Открыты для улучшений на https://gist.github.com/Magentron/e9a85ffebd07bdf29047218fc68e31f6
Magentron
2

Я использую эту команду для проверки всех пакетов:
dpkg -l | awk {'print $2'} | xargs | debsums | grep -v 'OK'

Вам необходимо установить пакеты debsumbs, gawk и findutils.

NetVicious
источник
Я добавляю некоторые ошибки (хотя и с правами root):debsums: can't open fwupd file /var/lib/polkit-1/localauthority/10-vendor.d/fwupd.pkla (Permission denied) debsums: can't open geoclue-2.0 file /var/lib/polkit-1/localauthority/10-vendor.d/geoclue-2.0.pkla (Permission denied)
rubo77