利用RPM的校验功能实现入侵检测分析

利用RPM的校验功能实现 入侵检测分析
作者：邹立巍< zorro@uplooking.com>
RPM的校验功能
RPM除了可以安装软件包以外，还可以对已经安装好的软件包进行校验。使用这种功能可以很好的对计算机上已经安装的软件进行监控。下面我们就来研究一下RPM的校验功能。
功能简介
RPM的校验功能可以比较现在已经安装的文件与未安装的文件之间的属性差别。如文件的大小、MD5 值、权限、类型、所有者、以及所属组。可以用它来判断系统是否受到 入侵，特定文件是否被修改过。
使用方法
rpm -V 软件包名称                                #可检查对应软件包安装的文件是否有变化
rpm –Vf 文件路径                                #可检查某一文件是否有变化
rpm –Va                                         #显示所有已经安装的文件是否有变化
rpm –Vp        RPM包名.rpm                        #根据 RPM 软件包文件来校验安装了的软件包
这里要说明的是如果文件测试通过，就是说没有任何改变的话，那么将不会有任何输出。如果检测有变化，那么就会输出。输出的格式包括九个字符的字符串（如果有c 代表是配置文件），然后是文件名称。这九个字符的每个字符都代表一种文件属性的比较结果，所比较的是文件的属性和 RPM 数据库中记录的属性。单用一个 .（点）意味着测试通过。出现下列某字符代表某类测试失败：
5 — MD5 校验和检查失败
S — 文件大小检查失败
L — 符号链接检查失败
T — 文件修改时间检查失败
D — 设备检查检失败
U — 用户检查失败
G — 组检查失败
M — 模式检查失败（包括权限和文件类型）
? — 不可读文件
如果出现以上输出，你就需要判断一下是什么原因引起的变化。如果是非正常原因的话，就需要采取一些措施了。
RPM的签名功能
RPM还提供了一种签名功能，用来检查某特定RPM包是否被损坏或篡改过。原理是这样：每个RPM包都可以用GnuPG来签名，从而帮助你肯定下载软件包的可信任性。
GnuPG 是安全通讯工具；它是 PGP（一种电子隐私程序）加密技术的完全和免费的替换品。使用 GnuPG，你可以验证文档的有效性，在其它通讯者之间加密或解密数据。GnuPG 还具有解密和校验 PGP 5.x 文件的能力。
在RedHat安装过程中，GnuPG 被默认安装。这样，你便可以立即开始使用 GnuPG 来校验来自红帽的软件包。首先，你需要导入的公钥。
公钥的导入
可以用命令：
rpm –import /path/to/the/RPM-GPG-KEY
这个文件可以从安装光盘上找到，如果是红帽系统的话，这个文件放在/usr/share/rhn目录下。
公钥导入之后可以用如下命令显示钥匙列表：
rpm -qa gpg-pubkey*
显示信息如下：
        gpg-pubkey-db42a60e-37ea5438
要显示钥匙详细信息,可以用：
        rpm –qi gpg-pubkey-db42a60e-37ea5438
签名的查询
        钥匙导入以后，我们就可以来查询软件包了。
        rpm –K <需要检查的RPM包>
要显示更详细的信息：
        rpm –Kvv <需要检查的RPM包>
        RPM工具使用起来方便，但是却是非常不错的检测方法。如果想要得到更详细的帮助信息的话，可以查询rpm命令的帮助手册。


此文档的pdf版本可在本人cublog里得到~~