Se você suspeitar de algum arquivo relacionado a RPM, deverá sempre baixá-lo primeiro e inspecioná-lo antes de instalá-lo.
Exemplo
$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz
Esses arquivos podem ser extraídos para um diretório temporário para inspeção adicional:
$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks
Podemos então inspecionar o conteúdo ainda mais.
Verificando assinaturas
Você pode confirmar que o RPM está assinado usando uma chave GPG que você já possui. Nesse caso, é provável que o RPM seja perfeitamente adequado e confiável.
$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK
Observe que "sha1 md5 OK" está no final. Isso significa que o RPM foi assinado com uma assinatura e é confirmado como OK.
Se falhar, pode por várias razões, como:
- não assinado
- assinatura corrompida
- você está perdendo sua chave de assinatura
Por exemplo:
$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK
Detalhes sobre como usar o RPM dessa maneira são discutidos mais adiante no tutorial Maxium RPM, intitulado: Máximo de RPM: Levando o Gerenciador de Pacotes da Red Hat para o Limite .
Verificando seu sistema usando RPM
Para ler mais sobre como usar o RPM para verificar se seus arquivos foram violados, dê uma olhada neste artigo sobre SANS intitulado: Intrusion Detection FAQ: Verificando arquivos com o RPM da Red Hat .
Referências