O pacote que acabei de instalar é legítimo e, se não, como o desinstalo?

Question

O pacote que acabei de instalar é legítimo e, se não, como o desinstalo?

#1 resposta do (3 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

3

Eu corri o GUI do Gerenciador de Atualizações. Quando pedi para instalar todos os pacotes, ele me pediu para ter certeza de que eu queria instalar. Havia 3 listas suspensas de pacotes, uma das quais foi denominada "NÃO AUTORIZADA". Então voltei e tentei instalar pacotes um de cada vez. Eu selecionei um chamado "ca-certificates", porque eu pensei que se eu fizesse isso poderia fazer os outros instalarem sem avisos, e eu pensei que teria a chance de dizer não. Mas quando eu corri com apenas um pacote, ele foi em frente e instalado sem me avisar. E eu acho que alguém poderia estar na lista de maridos da primeira vez. Então agora eu tenho uma atualização possivelmente maliciosa.

Como eu sei se isso é legal? E se não fosse, como removê-lo?

Não vejo nada de suspeito na saída do console ou /var/log/dpkg.log , mas posso postar também se isso for útil.

Estou usando o Linux Mint versão 1.17.3 com o dpkg versão 1.17.5. Eu não sei a versão do Update Manager (mas é um arquivo chamado /usr/lib/linuxmint/mintUpdate/mintUpdate.py ).

/var/log/dpkg.log :

2017-11-05 12:12:26 startup archives unpack
2017-11-05 12:12:32 upgrade ca-certificates:all 20160104ubuntu0.14.04.1 20170717~14.04.1
2017-11-05 12:12:32 status half-configured ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status unpacked ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status triggers-pending man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 trigproc man-db:amd64 2.6.7.1-1ubuntu1 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-configured man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:34 status installed man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:35 startup packages configure
2017-11-05 12:12:35 configure ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:35 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:35 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status installed ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status triggers-pending ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:38 trigproc ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:38 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:43 status installed ca-certificates:all 20170717~14.04.1

saída do console da atualização:

(synaptic:12479): GLib-CRITICAL **: g_child_watch_add_full: assertion 'pid > 0' failed
Preconfiguring packages ...
(Reading database ... 180668 files and directories currently installed.)
Preparing to unpack .../ca-certificates_20170717~14.04.1_all.deb ...
Unpacking ca-certificates (20170717~14.04.1) over (20160104ubuntu0.14.04.1) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Setting up ca-certificates (20170717~14.04.1) ...
Processing triggers for ca-certificates (20170717~14.04.1) ...
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
17 added, 42 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:AC_RAIZ_FNMT-RCM.pem
Adding debian:Amazon_Root_CA_1.pem
Adding debian:Amazon_Root_CA_2.pem
Adding debian:Amazon_Root_CA_3.pem
Adding debian:Amazon_Root_CA_4.pem
Adding debian:Certplus_Root_CA_G1.pem
Adding debian:Certplus_Root_CA_G2.pem
Adding debian:Certum_Trusted_Network_CA_2.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
Adding debian:ISRG_Root_X1.pem
Adding debian:LuxTrust_Global_Root_2.pem
Adding debian:OpenTrust_Root_CA_G1.pem
Adding debian:OpenTrust_Root_CA_G2.pem
Adding debian:OpenTrust_Root_CA_G3.pem
Adding debian:SZAFIR_ROOT_CA2.pem
Adding debian:TUBITAK_Kamu_SM_SSL_Kok_Sertifikasi_-_Surum_1.pem
Removing debian:AC_Raíz_Certicámara_S.A..pem
Removing debian:ApplicationCA_-_Japanese_Government.pem
Removing debian:Buypass_Class_2_CA_1.pem
Removing debian:CA_Disig.pem
Removing debian:ComSign_CA.pem
Removing debian:EBG_Elektronik_Sertifika_Hizmet_Sağlayıcısı.pem
Removing debian:Equifax_Secure_CA.pem
Removing debian:Equifax_Secure_Global_eBusiness_CA.pem
Removing debian:Equifax_Secure_eBusiness_CA_1.pem
Removing debian:IGC_A.pem
Removing debian:Juur-SK.pem
Removing debian:Microsec_e-Szigno_Root_CA.pem
Removing debian:NetLock_Business_=Class_B=_Root.pem
Removing debian:NetLock_Express_=Class_C=_Root.pem
Removing debian:NetLock_Notary_=Class_A=_Root.pem
Removing debian:NetLock_Qualified_=Class_QA=_Root.pem
Removing debian:RSA_Security_2048_v3.pem
Removing debian:Root_CA_Generalitat_Valenciana.pem
Removing debian:S-TRUST_Authentication_and_Encryption_Root_CA_2005_PN.pem
Removing debian:Sonera_Class_1_Root_CA.pem
Removing debian:Staat_der_Nederlanden_Root_CA.pem
Removing debian:StartCom_Certification_Authority.pem
Removing debian:StartCom_Certification_Authority_2.pem
Removing debian:StartCom_Certification_Authority_G2.pem
Removing debian:SwissSign_Platinum_CA_-_G2.pem
Removing debian:TC_TrustCenter_Class_3_CA_II.pem
Removing debian:UTN_USERFirst_Email_Root_CA.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_2.pem
Removing debian:WellsSecure_Public_Root_Certificate_Authority.pem
Removing debian:WoSign.pem
Removing debian:WoSign_China.pem
Removing debian:CA_WoSign_ECC_Root.pem
Removing debian:Certification_Authority_of_WoSign_G2.pem
Removing debian:S-TRUST_Universal_Root_CA.pem
Removing debian:TÜRKTRUST_Elektronik_Sertifika_Hizmet_Sağlayıcısı_H6.pem
done.
done.

dpkg security

por David Knipe 06.11.2017 / 19:19

3 respostas

Tags dpkg security

br sed: insere texto após o N-ésimo caractere anterior / seguinte a uma dada string Como fixar um pacote no dnf (Fedora)

score 3 · Answer 1

Se o pacote era malicioso, ele já tinha a chance de executar código com privilégios de root, incluindo apagar logs e rastrear o que ele fazia, então você só precisa considerar o servidor comprometido, não importa se você encontra evidências disso ou não, dependendo das suas políticas.

Se esse não for o caso, e se você tiver apenas os repositórios oficiais configurados em /etc/apt/sources.list e /etc/apt/sources.d (como comentado por @roaima), você pode assumir que nada deu errado, já que esses pacotes são assinados e suas assinaturas são verificadas antes de você instalá-las.

Ainda assim, se você quiser verificar novamente algo agora, pode verificar os hashes listados aqui contra o arquivo que você tem em /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb . Para isso execute sha256sum /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb e compare a string, caractere por caractere com o que você vê na página do Ubuntu. Se eles corresponderem exatamente, você pode dizer que foi o arquivo que você instalou e que veio do Ubuntu (o Mint não fornece seu próprio pacote de certificados, como você pode confirmar pesquisando aqui ).

Para sua conveniência, o hash obtido dessa página é 3b464250889051e2da74d123d9d440572158d87583090c75be9eab7c2e330f14 .

Mais uma vez, se o pacote foi malicioso, é tarde demais, se não, deixe-o lá ou remova como de costume com apt-get remove ca-certificates .

Se você não encontrar esse arquivo, talvez eu tenha recebido a versão errada de seus registros ou o cache do apt já tenha sido limpo em sua máquina, o que tornaria realmente difícil verificar o que você fez o download.

score 1 · Answer 2

Verifique com apt-cache policy ca-certificates de onde o pacote é.

Executar sudo apt-get update && sudo apt-get clean && sudo apt-get install --reinstall ca-certificates Quaisquer avisos novamente?

É sempre uma boa idéia não instalar ou atualizar pacotes, quando este aviso do apt-key for poppuped. A maior parte do tempo eles são inofensivos.

O selo funciona com uma cadeia de hashes criptográficos e uma assinatura. O arquivo assinado é o arquivo Release, fornecido pelos espelhos do Debian. Ele contém uma lista dos arquivos Packages (incluindo seus formulários compactados, Packages.gz e Packages.xz e as versões incrementais), juntamente com seus hashes MD5, SHA1 e SHA256, o que garante que os arquivos não tenham sido adulterados. Esses arquivos Packages contêm uma lista dos pacotes Debian disponíveis no espelho, junto com seus hashes, o que garante que o conteúdo dos pacotes também não tenha sido alterado.

apt-key é usado para gerenciar a lista de chaves usadas pelo apt para autenticar pacotes. Os pacotes que foram autenticados usando essas chaves serão considerados confiáveis.

Por favor, leia mais em Manpage. man apt-key

score 0 · Answer 3

Você deve poder voltar pela sua configuração para verificar se este pacote é / estava seguro.

Primeiro, localize ca-certificates*.deb no seu apt-cache em /var/cache/apt/archive/ e execute

md5sum /var/cache/apt/archive/ca-certificates*.deb

De acordo com a manpage para debsums você deve encontrar uma lista de arquivos / md5 hashes localizados em /var/lib/dpkg/info/*.md5sum . Faça um backup desse arquivo. Você pode então obter manualmente o arquivo deb em questão a partir do seu repositório e verifica o GPG em relação ao pacote que você faz o download , ou configuram a segurança para o seu repositório e reinstalam o pacote. Uma vez que o pacote é reinstalado (certifique-se de usar exatamente a mesma versão), você pode usar

md5sum -c /path.to.backup.md5

(ou apenas use debsums)

Que listará e validará todos os arquivos do pacote Debian. Supondo que você não encontre diferenças, você pode ter certeza de que todos os arquivos do pacote Debian antigo podem ser confiáveis, já que foram validados em um pacote deb já instalado em /var/cache/apt/archives.

Certifique-se de não executar apt-clean cache , caso contrário, você eliminará o pacote deb e não poderá saber se um script mal-intencionado foi executado.