Dpkg peut-il vérifier les fichiers d'un package installé?

31

Avec rpm -qV openssh-server, j'obtiendrai une liste des fichiers qui ont changé par rapport à ceux par défaut.

~$ rpm -qV openssh-server
S.?....T.  c /etc/ssh/sshd_config
~$

Peut- dpkgon faire de même sur Ubuntu?

linux ubuntu debian rpm dpkg Sandra
la source

Réponses:

21

Je ne pense pas, dans Ubuntu md5, les sommes de contrôle ne sont stockées que pour certains fichiers. Pour tout paquet donné, la liste des fichiers qui ont des sommes de contrôle se trouve dans

/var/lib/dpkg/info/<package>.md5sums

par exemple

/var/lib/dpkg/info/openssh-server.md5sums

Ceux-ci ne contiennent généralement pas une liste complète des fichiers qui ont été installés par un package, par exemple openssh-server.md5sums

bb5096cf79a43b479a179c770eae86d8  usr/lib/openssh/sftp-server
42da5b1c2de18ec8ef4f20079a601f28  usr/sbin/sshd
8c5592e0d522fa0f8f55f3c104479ef5  usr/share/lintian/overrides/openssh-server
cfcb67f58bcd1edcaa5a770863e49304  usr/share/man/man5/sshd_config.5.gz
71a51cbb514da3044b277e05a3ceaf0b  usr/share/man/man8/sshd.8.gz
222d4da61fcb3c65b4e6e83944752f20  usr/share/man/man8/sftp-server.8.gz

Vous pouvez utiliser la commande debsums (sudo apt-get install debsums) pour vérifier les fichiers qui ont des signatures md5

debsums openssh-server
/usr/lib/openssh/sftp-server                                                  OK
/usr/sbin/sshd                                                                OK
/usr/share/lintian/overrides/openssh-server                                   OK
/usr/share/man/man5/sshd_config.5.gz                                          OK
/usr/share/man/man8/sshd.8.gz                                                 OK
/usr/share/man/man8/sftp-server.8.gz                                          OK
user9517 prend en charge GoFundMonica
la source
Les sommes md5 omettent les fichiers de configuration (ceux de / etc) car vous devez les modifier.
psusi
Oui, le fichier / etc / ssh / sshd_config par exemple est généré par un script. Sous CentOS, les fichiers de configuration par défaut ont des sommes md5.
user9517 prend en charge GoFundMonica
5
Les sommes de contrôle md5 pour les fichiers de configuration sont stockées dans / var / lib / dpkg / status . "dpkg -V" vérifiera les sommes de contrôle de tous les fichiers du système, y compris les fichiers conf.
bain
25

Comme dans dpkg / 1.17.2, il implémente l' --verifyoption, selon ce rapport de bogue Debian .

Notez qu'il s'agit d'une modification relativement nouvelle de dpkg. Date: Thu, 05 Dec 2013 04:56:31 +0100la ligne du package dpkg v1.17.2 le montre.

Voici une brève description de l' --verifyaction citée dans la page de manuel de dpkg.

   -V, --verify [package-name...]
          Verifies  the integrity of package-name or all packages if omit‐
          ted, by comparing information from the installed paths with  the
          database metadata.

          The output format is selectable with the --verify-format option,
          which by default uses the rpm format, but that might  change  in
          the  future,  and  as  such programs parsing this command output
          should be explicit about the format they expect.

Vous pouvez donc simplement utiliser une syntaxe similaire à celle de yumpour effectuer des vérifications et obtenir des résultats au format rpm . Par exemple:

dpkg --verify openssh-server

ou utilisez simplement dpkg --verifypour vérifier chaque paquet installé sur votre système.

PS

Par exemple dpkg --verify bash, courir sur ma machine m'a donné quelque chose comme ça. (J'utilise dpkg / 1.17.5)

??5?????? c /etc/bash.bashrc
??5?????? c /etc/skel/.bashrc

Il semble que les packages .deb ne contiennent que des métadonnées md5sums pour vérification.

pallxk
la source
que signifient ces lignes? ??5?????? c...
rubo77
@ rubo77 Voir ftp.rpm.org/max-rpm/s1-rpm-verify-output.html pour le format cryptique.
pallxk
OK, cela ??5??????signifie donc : la somme de contrôle MD5 était différente et c = "c'est un fichier de configuration"
rubo77
Si vous ne voulez que des avertissements de paquets modifiés, (fichiers de configuration non modifiés) utilisezsudo dpkg -V | grep -v '??5?????? c'
rubo77
4

Il existe des débits d'outils que vous pouvez consulter.

# apt-cache search debsums
debsums - tool for verification of installed package files against MD5 checksums
Hrvoje Špoljar
la source
2

Normalement, j'ai une liste de fichiers que je veux vérifier.
Voici donc une fonction bash simple qui fait plus ou moins ce que vous voulez:

dpkg-verify() {
    exitcode=0
    for file in $*; do
        pkg=`dpkg -S "$file" | cut -d: -f 1`
        hashfile="/var/lib/dpkg/info/$pkg.md5sums"
        if [ -s "$hashfile" ]; then
            rfile=`echo "$file" | cut -d/ -f 2-`
            phash=`grep -E "$rfile\$" "$hashfile" | cut -d\  -f 1`
            hash=`md5sum "$file" | cut -d\  -f 1`
            if [ "$hash" = "$phash" ]; then
                echo "$file: ok"
            else
                echo "$file: CHANGED"
                exitcode=1
            fi
        else
            echo "$file: UNKNOWN"
            exitcode=1
        fi
    done
    return $exitcode
}

Utilisez comme ceci:

dpkg-verify /bin/ls /usr/bin/ld

Sortie sur mon environnement:

/bin/ls: ok
/usr/bin/ld: UNKNOWN

Bien sûr, il devrait être assez simple d'écrire un alias / script similaire pour vérifier les fichiers d'un package spécifique.

Magentron
la source
Ouvert aux améliorations sur https://gist.github.com/Magentron/e9a85ffebd07bdf29047218fc68e31f6
Magentron
2

J'utilise cette commande pour vérifier tous les packages:
dpkg -l | awk {'print $2'} | xargs | debsums | grep -v 'OK'

Vous devriez avoir besoin d'installer les paquets debsumbs, gawk et findutils.

NetVicious
la source
J'ajoute quelques erreurs (bien qu'en root):debsums: can't open fwupd file /var/lib/polkit-1/localauthority/10-vendor.d/fwupd.pkla (Permission denied) debsums: can't open geoclue-2.0 file /var/lib/polkit-1/localauthority/10-vendor.d/geoclue-2.0.pkla (Permission denied)
rubo77