O RPM é capaz de controlar os arquivos na pasta pessoal sem confirmação?

Em princípio, qualquer programa que você execute clicando duas vezes pode danificar os arquivos em sua pasta pessoal (supondo que você tenha permissões de gravação lá, o que é o caso normal).

O programa que é chamado clicando-se no RPM é menos provável que seja um malware que veio com a instalação da distribuição, mas os scripts e executáveis no RPM podem conter malware e eles têm acesso ao seu diretório home (ou mais corretamente para qualquer arquivo, a conta de usuário na qual o RPM é clicado é aberta).

Sua pergunta se irá causar algum dano não pode ser respondida, pois isso depende de várias coisas, incluindo o conteúdo do pacote. Poderia, no entanto, usar RPMs de fontes confiáveis.

(Se o RPM contiver malware, fornecer a senha de root permitiria ainda mais danos).

Se você suspeitar de algum arquivo relacionado a RPM, deverá sempre baixá-lo primeiro e inspecioná-lo antes de instalá-lo.

Exemplo

$ rpm -qpl /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/usr/bin/rtmpdump
/usr/sbin/rtmpgw
/usr/sbin/rtmpsrv
/usr/sbin/rtmpsuck
/usr/share/doc/rtmpdump-2.4
/usr/share/doc/rtmpdump-2.4/COPYING
/usr/share/doc/rtmpdump-2.4/README
/usr/share/man/man1/rtmpdump.1.gz
/usr/share/man/man8/rtmpgw.8.gz

Esses arquivos podem ser extraídos para um diretório temporário para inspeção adicional:

$ rpm2cpio /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm | \
  cpio -idmv
./usr/bin/rtmpdump
./usr/sbin/rtmpgw
./usr/sbin/rtmpsrv
./usr/sbin/rtmpsuck
./usr/share/doc/rtmpdump-2.4
./usr/share/doc/rtmpdump-2.4/COPYING
./usr/share/doc/rtmpdump-2.4/README
./usr/share/man/man1/rtmpdump.1.gz
./usr/share/man/man8/rtmpgw.8.gz
296 blocks

Podemos então inspecionar o conteúdo ainda mais.

Verificando assinaturas

Você pode confirmar que o RPM está assinado usando uma chave GPG que você já possui. Nesse caso, é provável que o RPM seja perfeitamente adequado e confiável.

$ rpm -K /home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm
/home/saml/rtmpdump-2.4-0.1.20110811gitc58cfb3e.fc14.x86_64.rpm: sha1 md5 OK

Observe que "sha1 md5 OK" está no final. Isso significa que o RPM foi assinado com uma assinatura e é confirmado como OK.

Se falhar, pode por várias razões, como:

1. não assinado
2. assinatura corrompida
3. você está perdendo sua chave de assinatura

$ rpm -K rpm-2.3-1.i386-bogus.rpm
rpm-2.3-1.i386-bogus.rpm: size PGP MD5 NOT OK

Detalhes sobre como usar o RPM dessa maneira são discutidos mais adiante no tutorial Maxium RPM, intitulado: Máximo de RPM: Levando o Gerenciador de Pacotes da Red Hat para o Limite .

Verificando seu sistema usando RPM

Para ler mais sobre como usar o RPM para verificar se seus arquivos foram violados, dê uma olhada neste artigo sobre SANS intitulado: Intrusion Detection FAQ: Verificando arquivos com o RPM da Red Hat .

Referências

• 10.3. Verificando a assinatura de um pacote
• Como extrair um pacote RPM sem instalar

Em resumo - se você não der sua senha quando solicitado pelo software de instalação do RPM - o conteúdo do arquivo RPM não será analisado e não será possível prejudicar seu sistema de alguma forma.

Se você der sua senha (e você for um administrador ou tiver fornecido a senha de root), o RPM poderá ser usado para instalar softwares mal-intencionados em seu sistema, executá-lo com permissões de administrador e acessar qualquer arquivo em seu sistema.

Certifique-se sempre de baixar o software do fabricante do software e verificar as assinaturas de RPM. Felizmente, o gerenciador de software embutido em seu sistema operacional Linux fará isso automaticamente, então tente primeiro ver se o gerente de software tem o que você precisa antes de ir e baixar os arquivos da internet ruim.