O RPM é capaz de controlar os arquivos na pasta pessoal sem confirmação?

1

O arquivo de extensão do RPM pode ser executado clicando duas vezes, não importando o conteúdo do pacote, e depois ele solicita a senha de root para instalar algo em seu sistema, mas se eu não der, causará algum dano para meus arquivos na pasta pessoal?

Tenho certeza que baixei o RPM da URL correta, mas estou preocupado com o ataque Man-In-The-Middle, o arquivo de 10MB está longe do tamanho que deveria ser de 100MB como o site offcial descrito, então talvez a sessão de download tenha sido interrompida pela falha na conexão com a Internet ou talvez seja do tamanho do malware?

    
por hty 12.10.2014 / 09:37

3 respostas

3

Em princípio, qualquer programa que você execute clicando duas vezes pode danificar os arquivos em sua pasta pessoal (supondo que você tenha permissões de gravação lá, o que é o caso normal).

O programa que é chamado clicando-se no RPM é menos provável que seja um malware que veio com a instalação da distribuição, mas os scripts e executáveis no RPM podem conter malware e eles têm acesso ao seu diretório home (ou mais corretamente para qualquer arquivo, a conta de usuário na qual o RPM é clicado é aberta).

Sua pergunta se irá causar algum dano não pode ser respondida, pois isso depende de várias coisas, incluindo o conteúdo do pacote. Poderia, no entanto, usar RPMs de fontes confiáveis.

(Se o RPM contiver malware, fornecer a senha de root permitiria ainda mais danos).

    
por 12.10.2014 / 09:49
1

Se você suspeitar de algum arquivo relacionado a RPM, deverá sempre baixá-lo primeiro e inspecioná-lo antes de instalá-lo.

Exemplo

$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz

Esses arquivos podem ser extraídos para um diretório temporário para inspeção adicional:

$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
  cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks

Podemos então inspecionar o conteúdo ainda mais.

Verificando assinaturas

Você pode confirmar que o RPM está assinado usando uma chave GPG que você já possui. Nesse caso, é provável que o RPM seja perfeitamente adequado e confiável.

$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK

Observe que "sha1 md5 OK" está no final. Isso significa que o RPM foi assinado com uma assinatura e é confirmado como OK.

Se falhar, pode por várias razões, como:

  1. não assinado
  2. assinatura corrompida
  3. você está perdendo sua chave de assinatura
Por exemplo:
$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK

Detalhes sobre como usar o RPM dessa maneira são discutidos mais adiante no tutorial Maxium RPM, intitulado: Máximo de RPM: Levando o Gerenciador de Pacotes da Red Hat para o Limite .

Verificando seu sistema usando RPM

Para ler mais sobre como usar o RPM para verificar se seus arquivos foram violados, dê uma olhada neste artigo sobre SANS intitulado: Intrusion Detection FAQ: Verificando arquivos com o RPM da Red Hat .

Referências

por 12.10.2014 / 15:36
0

Em resumo - se você não der sua senha quando solicitado pelo software de instalação do RPM - o conteúdo do arquivo RPM não será analisado e não será possível prejudicar seu sistema de alguma forma.

Se você der sua senha (e você for um administrador ou tiver fornecido a senha de root), o RPM poderá ser usado para instalar softwares mal-intencionados em seu sistema, executá-lo com permissões de administrador e acessar qualquer arquivo em seu sistema.

Certifique-se sempre de baixar o software do fabricante do software e verificar as assinaturas de RPM. Felizmente, o gerenciador de software embutido em seu sistema operacional Linux fará isso automaticamente, então tente primeiro ver se o gerente de software tem o que você precisa antes de ir e baixar os arquivos da internet ruim.

    
por 12.10.2014 / 19:57

Tags