Jak zweryfikować pakiety w dystrybucji Adamantix?
debsig-verify
Pakiety instalujemy z wielu miejsc w sieci i rzadko możemy sprawdzić czy przypadkiem na publicznych serwerach nie dokonano podmiany pakietów. Z pomocą przychodzi nam jednak pakiet i program o nazwie debsig-verify pozwalający sprawdzić oryginalność pakietu.
Użycie programu jest bardzo proste, jako parametr podajemy nazwę interesującego nas pakietu. Jeżeli wszystko przebiega poprawnie zobaczymy komunikat jak na poniższym przykładzie:
(none):/var/cache/apt/archives# debsig-verify whois_4.5.25-2_i386.deb debsig: Verified package from `Debian GNU Project' (Adamantix)
Jeżeli natomiast pakiet nie ma podpisu (np. jest z Debiania i nie ma odpowiednika w Adamantiksie lub jest podmieniony) komunikat będzie inny:
(none):/var/cache/apt/archives# debsig-verify wajig_0.3.5-3_all.deb debsig: Origin Signature check failed. This deb might not be signed.
Przyjemnym efektem posiadania tego pakietu jest możliwość sprawdzenia w czasie instalacji oprogramowania autentyczności pakietu.
(none):/var/cache/apt/archives# apt-get install debsums Reading Package Lists... Done Building Dependency Tree... Done The following extra packages will be installed: libdigest-md5-perl The following NEW packages will be installed: debsums libdigest-md5-perl 0 packages upgraded, 2 newly installed, 0 to remove and 0 not upgraded. Need to get 33.8kB of archives. After unpacking 213kB will be used. Do you want to continue? [Y/n] Get:1 http://www.szczepanek.de stable/main libdigest-md5-perl 2.13-2.2 [22.5kB] Get:2 http://www.szczepanek.de stable/main debsums 2.0.2.2 [11.3kB] Fetched 33.8kB in 0s (63.5kB/s) E: /var/cache/apt/archives/libdigest-md5-perl_2.13-2.2_i386.deb not a valid DEB package. Authenticating /var/cache/apt/archives/libdigest-md5-perl_2.13-2.2_i386.deb ... passed Selecting previously deselected package libdigest-md5-perl. (Reading database ... 14852 files and directories currently installed.) Unpacking libdigest-md5-perl (from .../libdigest-md5-perl_2.13-2.2_i386.deb) ... Authenticating /var/cache/apt/archives/debsums_2.0.2.2_all.deb ... passed Selecting previously deselected package debsums. Unpacking debsums (from .../debsums_2.0.2.2_all.deb) ... Setting up libdigest-md5-perl (2.13-2.2) ... Setting up debsums (2.0.2.2) ...
debsums
Jak jednak sprawdzić czy programy z zainstalowanych już pakietów nie zostały podmienione? Możemy w takich przypadkach wykorzystać inny program o nazwie debsums. Wszystkie pakiety Adamantiksa posiadają sumy kontrole md5, dzięki którym możesz sprawdzić autentyczność oprogramowania.
Jeżeli chcemy sprawdzić autentyczność oprogramowania wydajemy polecenie debsums nazwa_pakietu np.
(none):/var/lib/dpkg/info# debsums ssh usr/bin/ssh OK usr/bin/scp OK usr/bin/ssh-add OK usr/bin/ssh-agent OK usr/bin/ssh-keygen OK usr/bin/ssh-keyscan OK usr/bin/sftp OK usr/bin/ssh-copy-id OK usr/sbin/sshd OK usr/lib/ssh-keysign OK usr/lib/sftp-server OK usr/share/man/man1/scp.1.gz OK usr/share/man/man1/ssh-agent.1.gz OK usr/share/man/man1/ssh-keygen.1.gz OK usr/share/man/man1/ssh-keyscan.1.gz OK usr/share/man/man1/sftp.1.gz OK usr/share/man/man1/ssh-copy-id.1.gz OK usr/share/man/man1/ssh.1.gz OK usr/share/man/man1/ssh-add.1.gz OK usr/share/man/man8/ssh-keysign.8.gz OK usr/share/man/man8/sshd.8.gz OK usr/share/man/man8/sftp-server.8.gz OK usr/share/man/man5/ssh_config.5.gz OK usr/share/man/man5/sshd_config.5.gz OK usr/share/doc/ssh/README OK usr/share/doc/ssh/changelog.gz OK usr/share/doc/ssh/copyright OK usr/share/doc/ssh/RFC.gz OK usr/share/doc/ssh/OVERVIEW.gz OK usr/share/doc/ssh/README.Debian.gz OK usr/share/doc/ssh/changelog.Debian.gz OK