Re: Mit dpkg, apt, etc. md5 / sha1 sums checken?

[Matthias Haegele <mhaegele@linuxrocks.dyndns.org>]

Jan Luehr schrieb:
> ja hallo erstmal,...
>
> Am Donnerstag, 14. Februar 2008 schrieb Sven Joachim:
> > Hallo,
> >
> > Am 14.02.2008 um 11:03 schrieb Tobias Nissen:
> > > Hallo Jan!
> > >
> > > Jan Luehr wrote:
> > > > ich möchte bei einem potentiell kompromittierten System (Etch) die
> > > > md5sums und/oder sha1sums aller Dateien gegen die aus dem entspr.
> > > > Debian-Paket vergleichen - leider habe ich bei dpkg, apt, etc. kein
> > > > entspr. Flag gefunden.
> > > >
> > > > Gibt's da was nettes? D.h. ist dieses Rad schon erfunden, oder sind
> > > > einige Zeilen shell-code fälllig?
> > > Guckstu Msg-ID 20080211185719.83495436.tn@movb.de in debian-user! Oder
> > > kurz: debsum.
> > Auf debsums ist allerdings kein Verlass, wenn der Verdacht besteht, dass
> > das System kompromittiert wurde. Denn ein Angreifer kann natürlich auch
> > die md5-Summen in /var/lib/dpkg/info manipulieren, wenn er root-Rechte
> > besitzt. Siehe auch den Hinweis dazu in der debsums-Handbuchseite.
>
> Theoretisch, praktisch kann dies Problem noch behoben werden, indem man 
> md5sums eines frischen System benutzt.
> Das Problem besteht eher darin, dass ein Angreifer das FS so manipulieren 
> kann, dass nicht die richtigen Dateien übermittelt werden.

Deswegen auch der Hinweis eine Live-CD zu nehmen und mit *statisch* 
gelinkten Befehlen das möglicherweise kompromittierte System zu 
untersuchen ...

> Keep smiling
> yanosz


--
Gruesse/Greetings
MH


Dont send mail to: ubecatcher@linuxrocks.dyndns.org
--