rpm有多可靠-验证何时审核包的完整性以及有哪些替代方案？

Question

当前，要验证包的完整性，运行命令rpm --verify。在阅读rpm手册(http://ftp.rpm.org/max-rpm/s1-rpm-verify-output.html)时，没有迹象表明验证过程的准确性。

据我理解，像副官和绊线这样的解决方案期望获得已知的良好状态，并且无法在包被更新和/或升级时验证完整性。

• 有哪些替代方案可以确保安装后软件包的完整性以及随后的更新和升级？
• 如何发现和识别不作为或行为所造成的腐败行为？
• 如果一个已知的好状态是未知的，还有什么选择？

Answer 1

根据我的经验，rpm --验证对于第一次检查是足够准确的。我没有尝试删除一个文件，看看是否rpm它确实识别了已更改的文件。

rpm --验证只是我使用的工具之一。我还使用入侵检测系统(AIDE)来识别已添加、删除或修改的文件。

如果有特定的文件，我想要确保他们的完整性，我使用木偶控制他们。简而言之，Puppet使用校验和来验证文件的完整性。如果不匹配，则可以发送警报，也可以用正确的版本替换文件。

Answer 2

也许您正在寻找验证rpm签名的rpm --checksig。

根据http://ftp.rpm.org/max-rpm/ch-rpm-verify.html，rpm --verify验证rpm的以下属性：

所有者、组、模式、MD5校验和、大小、大号、次要数字、符号链接字符串、修改时间

校验和可以告诉您rpm是否已损坏，但是来自恶意源的rpm就其校验和而言可以是完整的。使用可信的PGP密钥验证rpm的签名确保rpm是可信的。请参阅http://ftp.rpm.org/max-rpm/ch-rpm-checksig.html