Главная » Форум » Gentoo Linux » Системное администрирование

Быстрая проверка целостности файлов.

c0bain 19 июня, 2008 - 14:55

Хочу проверить не были ли изменены какиелибо фалы в системе за время моего отсутствия.
Знаю есть пакет app-forensics/aide который по крону создаёт и проверяет собственную базу сигнатур файлов системы. Если его установлю сейчас, то мою задачу это не решит т.к. база сигнатур будет не актуальна. Да и не хочется после каждого emerge -pvuND world запускать пересборку этой его базы.
Может есть лёгкий способ проверить все файлы по уже имеющейся базе portage, которая сожержит md5 всех установленных файлов системы (кроме конфигов и бинарников которые вы созжали вручную.)?
типа equery k world
может типа for p in $(cat /var/lib/portage/world); do equery k $p; done

‹ сервер терминалов gentoo + vnc + vnc viewer под ХР IPv6 - надо ли? ›
»

c0bain

Автор krigstask, дата создания 19 июня, 2008 - 15:01.
c0bain написал(а):
Может есть лёгкий способ проверить все файлы по уже имеющейся базе portage, которая сожержит md5 всех установленных файлов системы (кроме конфигов и бинарников которые вы созжали вручную.)?

А она содержит?

Пожалуйста, не описывайте своё железо в подписи

»

ага. когда emerge

Автор c0bain, дата создания 19 июня, 2008 - 15:16.

ага. когда emerge ставит пакет он mtime и md5 каждого файла сохраняет.
Вроде нашёл чтото подходящии для себя, проверяет все файлы из всех пакетов
qcheck -a

P.S. будте осторожны, при использовании prelink - он модифицирует файлы уже после установки.

»

Как уже сказали

Автор wi, дата создания 19 июня, 2008 - 17:00.

Как уже сказали qcheck. Но не совсем то что нужно. Во первых это лежит в базе установленных пакетов на той же машине. Если известно что это генто то при замене бинаря можно подправить и базу, и проверялку. Контрольные суммы, как впрочем и проверялку желательно держать отдельно, в недоступном хацкиру месте. Во вторых там контролируется не токмо бинари, но и конфиги (ежели они входят в поставку). Потому проверка пестрит сообщениями о модификации и распыляет внимание. В третьих оно никак не контролирует файлики, которые в пакет не входят (те же конфиги).

ИМХО слепок (ежели он нужен) лучше делать руками исходя из потребностей. Причем до того как вы подумали что вас сломали. Стандартная тузла вычисляющая и контролирующая суммы называется как ни странно md5sum. Контроль производить с ливсидишника.

»

:)

Автор Anarchist, дата создания 19 июня, 2008 - 17:13.
wi написал(а):
Стандартная тузла вычисляющая и контролирующая суммы называется как ни странно md5sum.

И почему мне кажется, что её зовут скорее [хотя бы] sha256sum?.. ;)
--
Live free or die

»

.

Автор ndrwsh, дата создания 19 июня, 2008 - 18:22.

я замеров не делал, но думается, что md5sum может работать чуть-чуть быстрее, чем sha256sum и прочие *sum а даже если это и не так, ИМХО, не суть. :-)

»

app-admin/tripwire не

Автор Agressor, дата создания 19 июня, 2008 - 19:15.

app-admin/tripwire не подходит? только если конечно это десктоп - про prelink говорилось выше...

»

Есть еще

Автор wi, дата создания 20 июня, 2008 - 08:09.

Есть еще app-forensics/aide

ЗЫ
В первую очередь взломщег будет пытаться обойти трипварь или аиду. Потому как делает то самое вторжение, и просто обязан знать стандартные средства борбы с собой.

Руководство по трипварю и аиде, и пара идей по их обходу тут http://wiki.linuxformat.ru/index.php/LXF89:%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C

»

=

Автор Anarchist, дата создания 20 июня, 2008 - 11:43.
ndrwsh написал(а):
я замеров не делал, но думается, что md5sum может работать чуть-чуть быстрее, чем sha256sum и прочие *sum а даже если это и не так, ИМХО, не суть. :-)

Помимо скорости работы есть ещё как минимум вероятность коллизии :)
--
Live free or die

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".