O RedHat / CentOS e o Ubuntu fornecem pacotes para verificar o conteúdo de um pacote. O CentOS usa rpm -V . O Ubuntu usa debsums .
Falei com administradores que executam essas ferramentas para verificar os pacotes em seus sistemas. Essas ferramentas aumentam a segurança de um sistema ou fornecem uma falsa sensação de segurança?
Da mesma forma, essas ferramentas aumentam a estabilidade de um sistema, já que podem ajudar a detectar problemas após a corrupção do sistema de arquivos?
No caso da segurança, ele só detectará um número limitado de problemas, quando a pessoa que invadiu o servidor e substituiu / alterou alguns arquivos é bastante inexperiente, pois qualquer rootkit "decente" garantirá que uma ferramenta como o debsums "verá" os arquivos originais e nenhum "alarme" tocará.
Pode ser um pouco mais útil detectar a corrupção do sistema de arquivos.
Em qualquer caso, certamente não faz mal, desde que você esteja ciente das limitações.
Bem, eles estão lá apenas para garantir que o seu pacote (baixado ou copiado de algum lugar) não esteja corrompido. Depois de baixar ou copiar o pacote, é útil impedir que você instale um pacote quebrado.
Um pacote quebrado pode funcionar ou não funcionar (estabilidade fraca). Eu não acho que devemos nos preocupar com segurança quando o sistema não é estável.
Após o pacote ter sido instalado, muitas vezes você não precisa executar a verificação novamente, a menos que tenha ocorrido uma falha no disco ou uma queda de energia (ou a menos que você esteja realmente paranóico com isso). No caso de tais incidentes, o sistema de arquivos pode ser danificado, levando a pacotes quebrados.
Primeiro, tenha em mente que as distribuições, como, por exemplo, Debian, Ubuntu etc., usam pacotes assinados criptograficamente, isto é, começando com uma mídia de instalação confiável, a criptografia da chave pública assegura que os pacotes dos repositórios oficiais não sejam modificados no caminho para o seu computador.
Para verificar as somas de verificação dos pacotes instalados, há alguns casos de uso:
Segurança de dados - para detectar falhas de hardware, por exemplo, o blog do ksplice apresenta essa história de guerra
Segurança - por exemplo, se seu / usr estiver montado em um servidor de arquivos e você suspeitar de uma manipulação nesse servidor, mas sua máquina não estiver comprometida
É claro que, se um invasor for root em seu sistema, verificar as somas de verificação realmente não oferece uma vantagem, pois ele pode manipular a verificação ou ocultar as chances de arquivos também ...
Acho que a resposta curta para Essas ferramentas aumentam a segurança de um sistema? é sim.
Tenha em mente que isso é apenas um aprimoramento, há muitos aspectos de segurança e é um longo caminho difícil para entender até mesmo uma visão geral da segurança. Tais ferramentas podem ser usadas para verificar a integridade do seu sistema operacional, e isso é importante. Claro que haverá coisas que podem comprometer ou enganar essas ferramentas, mas imagine se você não as tivesse, como você verificaria seus binários se suspeitasse que eles tinham sido comprometidos? Obviamente, ter binários corrompidos devido à falha iminente da unidade é um problema.
Pense nisso aumentando o conhecimento que um hacker precisa para ser capaz de hackear seu sistema com sucesso sem ser detectado. Neste caso, é trivial, e se alguém soubesse o suficiente para obter acesso aos seus sistemas, eles seriam capazes de detectar e subverter as verificações de RPM
Esse tipo de verificação do sistema também tem um efeito preventivo cumulativo. Se for mais fácil hackear outro sistema, para a mesma recompensa, então alguns hackers irão para outro lugar.