Rpm另类用法加固Linux安全

Rpm 另类用法加固 Linux 安全

 

RPM 是 Red Hat Package Manager 的缩写即 Red Hat 软件管理器。它是一个开放的包管理软件，由 Red Hat 公司所开发和维护，可以在 Red Hat Linux 及其他的 Linux 上运行。用于管理 RPM 软件包的主要工具是 rpm 命令，它有六个基本的功能：安装、卸载、升级、更新、查询和校验软件包。此外，它还有鲜为人知的功能—安全维护。本文介绍如何使用 rpm 来进行安全维护。

1 ．检查系统公钥

    在 RPM 软件包安装前， rpm 命令通过检查软件包签名可以保证软件没有被篡改和破坏。现在无论发行版、 YUM 或 apt 等软件库都带有 GPG 公有密钥 ( 下文简称公钥 ) 签名，它们保存在 /usr/share/doc/fedora-release-4 目录下，主要包括 RPM-GPG-KEY 、 RPM-GPG-KEY-beta 和 RPM-GPG-KEY-fedora-extras 等。使用如下命令来检测系统公钥：

[root@localhost ~]#rpm -qagpg-pubkey*

gpg-pubkey-a109blec -3f 6e28d5

gpg-pubkey -66534c 2b-41d57eae

gpg-pubkey -1ac 70ce6-41bebeef

gpg-pubkey -9a 2a 932b-4192dfad

gpg-pubkey-a109b1ec -3f 6e28d5

gpg-pubkey-e42d547b-3960bdf1

gpg-pubkey -66534c 2b-41d57eae

gpg-pubkey-e42d547b-3960bdf1

pgp-pubkey-1aa78495-3eb24301

pgp-pubkey -4f 2a 6fd2 -3f 9d9d3b0

其中“ gpg-pubkey-a109b1ec-3f6e28d5 ”代表 FedoraCore 公钥，如果想知道详细的资料，则可以输入以下命令

  [roat@localhost~]# rpm-qi gpg-pubkey-a109b1ec-3f6e28d5 | less

从输出的结果可看出，密钥的名称分为版本号和发行号两种数字，本密钥适用于 livna.org rpms 的 gpg 。如果希望安装新的或升级 PRM 软件包时，自动检查密钥，如果不比配就会停止程序的继续进行

2 . 导入和删除 GPG 密钥

1. 1 ） . 导入官方密钥

#rpm –import RPM-GPG-KEY-fedora

. 导入软件仓密钥

#rpm –import http://svn.rpmforge.net/svn/branches/rpms/matthias/apt/RPM-GPG-KEY.freshrpms

. 删除密钥

#rpm -e gpg-pubkey-a109b1ec -3f 6e28d5

  软件安装前，检查签名的正确性：

[root@localhost ~]#cd /root/downfile

[root@localhost downfile]# rpm --checksig yumex-0.42-5.0.fc4.noarch.rpmyumex-0.42-5.0.fc4.noarch.rpm:(shal)dsa shal md5 gpg OK

3. 检测软件完整性

    以上结果全部通过后，就可以安心地安装这个软件了。如果缺少密钥 DSA 、 SHA1 和 GPG 及 PRM 文件遭到破坏就全部以大写出现； RPM 文件内容被修改则 MD5 、 GPG 显示为 BAD 。

  软件安装后，可以使用 rpm 命令辨别是否有人进行过修改，下面介绍具体的步骤：

 [root@locahost ~]#rpm –V sendmail

..?...... c /etc/mail/domaintable

..?...... c /etc/mail/mailertable

.......T. c /etc/mail/sendmail.cf

..?...... c /etc/mail/virtusertable

S.5....T. c /var/log/mail/statistics

  上面输出结果的右侧列出与原始状态不匹配的文件，左侧现实存储系统属性出现的错误。其中，“ . ”点表示通过测试， “?” 表示因为某些原因计算不出文件的 md5sum ； “S” 表示文件大小已经变更； “T” 代表时间已经变更， “ 5” 代表 md5sum 已经变更。此外， rpm 命令还可以检查单个文件的完整性 ( 已启动脚本为例 ) 。

  首先使用如下命令检查文件的来源 :

 [root@localhost ~]# rpm -qf /etc/rc.d/init.d/sendmail

  Sendmail- 8.13.4 -2

   然后再使用下列命令列出软件包含的文件存储信息：

[root@localhost ~]#rpm –ql --dump sendmail|grep /etc/rc.d/init.d/sendmail

 /etc/rc.d/init.d/sendmail 334811153829111d213325d3ce95952cf 87f 4a 05d 8a 488 01100755 root root 1 0 0 X

由上得到以下有用的存储信息：

文件中最初的字符数 (3348) ；

Sendmail 文件内容的 md5sum(1d213325d3ce95952cf 87f 4a 05d 8a 488);

与该文件关联的权限

文件的所有者 (root)

最后，检查实际文件内容是否被修改：

[root@localhost ~]# ls –l /etc/rc.d/init.d/sendmail

-rwxr-xr-x 1 root root 3348 3 月 6 20 ： 35 /etc/rc.d/init.d/sendmail

[root@localhost ~]# md5sum /etc/rc.d/init.d/sendmail

 1d213325d3ce95952cf 87f 4a 05d 8a 488 /rtc/rc.d/init.d/sendmail

这里显示的信息与上步的输出信息相同，启动脚本与原始脚本相匹配。 Sendmail 软件报的文件大小、 md5sum 和时间都被变更，这是正常的，而且启动脚本没有变更，这个如果变更就会影响软件正常执行。所以，这个软件包的 RPM 数据库处在安全状态。

4. 修复被破坏的 RPM 数据库

    如果 RPM 数据库被破坏，在软件安装、删除等会长期无响应，有事重启系统会自动修复，如果不能修复，可以参考一下的方法。

  首先，使用如下命令杀出当前的 RPM 数据库

#rm -f /var/lib/rpm/_db.*

  然后，使用下列命令重建数据库：

#rpm –vv -rebuilddb

5. 检查系统的安全性

    如果系统遭到入侵或被攻击，一些重要文件必须被修改，主要包括含有字符串 /bin 和 /sbin 的文件。可以通过一下命令进行检查：

 [root@localhost ~]# rpm -Va|grep ‘bin\/’

    如果输出结果显示多个存储属性发生变化，就表明系统曾被攻击过。较好解决办法是断开网络，备份重要文件重新安装系统。

  RPM 命令可以保证软件包安装前后的完整性，并且可以跟踪软件里文件被修改的存储信息，从而及时发现系统被入侵的情况。但聪明的入侵者是会先破坏 RPM 架构，让其失去成为安全防护工具的意义。为了系统更加安全，大家应该及时备份系统的 RPM 数据库。

本文出自 “李晨光原创技术博客” 博客，谢绝转载！