インストールしたばかりのパッケージは合法的ですか?そうでない場合、どのように削除しますか?

インストールしたばかりのパッケージは合法的ですか?そうでない場合、どのように削除しますか?

Update Manager GUIを実行しました。すべてのパッケージのインストールを要求すると、そのパッケージをインストールすることを確認するように求められます。 3つのパッケージドロップダウンがあり、そのうちの1つは「Unauthorized」です。それで、戻ってパッケージを一つずつインストールしてみました。私は「ca-certificates」という証明書を選択しました。これは、警告なしに他の証明書がインストールされる可能性があり、拒否する機会があると考えたためです。ただし、そのパッケージのみを使用して実行すると、メッセージは表示されず、引き続きインストールされます。私の考えでは、この人が初めていたずらリストに含まれていたかもしれません。これで悪意のあるアップデートがありました。

これが正当であるかどうかはどうすればわかりますか?そうでない場合は、どのように削除しますか?

コンソール出力に疑わしい内容はありませんが、/var/log/dpkg.log役に立つ場合は投稿できます。

私はLinux Mintバージョン1.17.3とdpkgバージョン1.17.5を使用しています。 Update Managerのバージョンがわかりません(ただし、名前というファイルです/usr/lib/linuxmint/mintUpdate/mintUpdate.py)。

/var/log/dpkg.log:

2017-11-05 12:12:26 startup archives unpack
2017-11-05 12:12:32 upgrade ca-certificates:all 20160104ubuntu0.14.04.1 20170717~14.04.1
2017-11-05 12:12:32 status half-configured ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status unpacked ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status triggers-pending man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 trigproc man-db:amd64 2.6.7.1-1ubuntu1 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-configured man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:34 status installed man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:35 startup packages configure
2017-11-05 12:12:35 configure ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:35 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:35 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status installed ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status triggers-pending ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:38 trigproc ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:38 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:43 status installed ca-certificates:all 20170717~14.04.1

更新されたコンソール出力:

(synaptic:12479): GLib-CRITICAL **: g_child_watch_add_full: assertion 'pid > 0' failed
Preconfiguring packages ...
(Reading database ... 180668 files and directories currently installed.)
Preparing to unpack .../ca-certificates_20170717~14.04.1_all.deb ...
Unpacking ca-certificates (20170717~14.04.1) over (20160104ubuntu0.14.04.1) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Setting up ca-certificates (20170717~14.04.1) ...
Processing triggers for ca-certificates (20170717~14.04.1) ...
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
17 added, 42 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:AC_RAIZ_FNMT-RCM.pem
Adding debian:Amazon_Root_CA_1.pem
Adding debian:Amazon_Root_CA_2.pem
Adding debian:Amazon_Root_CA_3.pem
Adding debian:Amazon_Root_CA_4.pem
Adding debian:Certplus_Root_CA_G1.pem
Adding debian:Certplus_Root_CA_G2.pem
Adding debian:Certum_Trusted_Network_CA_2.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
Adding debian:ISRG_Root_X1.pem
Adding debian:LuxTrust_Global_Root_2.pem
Adding debian:OpenTrust_Root_CA_G1.pem
Adding debian:OpenTrust_Root_CA_G2.pem
Adding debian:OpenTrust_Root_CA_G3.pem
Adding debian:SZAFIR_ROOT_CA2.pem
Adding debian:TUBITAK_Kamu_SM_SSL_Kok_Sertifikasi_-_Surum_1.pem
Removing debian:AC_Raíz_Certicámara_S.A..pem
Removing debian:ApplicationCA_-_Japanese_Government.pem
Removing debian:Buypass_Class_2_CA_1.pem
Removing debian:CA_Disig.pem
Removing debian:ComSign_CA.pem
Removing debian:EBG_Elektronik_Sertifika_Hizmet_Sağlayıcısı.pem
Removing debian:Equifax_Secure_CA.pem
Removing debian:Equifax_Secure_Global_eBusiness_CA.pem
Removing debian:Equifax_Secure_eBusiness_CA_1.pem
Removing debian:IGC_A.pem
Removing debian:Juur-SK.pem
Removing debian:Microsec_e-Szigno_Root_CA.pem
Removing debian:NetLock_Business_=Class_B=_Root.pem
Removing debian:NetLock_Express_=Class_C=_Root.pem
Removing debian:NetLock_Notary_=Class_A=_Root.pem
Removing debian:NetLock_Qualified_=Class_QA=_Root.pem
Removing debian:RSA_Security_2048_v3.pem
Removing debian:Root_CA_Generalitat_Valenciana.pem
Removing debian:S-TRUST_Authentication_and_Encryption_Root_CA_2005_PN.pem
Removing debian:Sonera_Class_1_Root_CA.pem
Removing debian:Staat_der_Nederlanden_Root_CA.pem
Removing debian:StartCom_Certification_Authority.pem
Removing debian:StartCom_Certification_Authority_2.pem
Removing debian:StartCom_Certification_Authority_G2.pem
Removing debian:SwissSign_Platinum_CA_-_G2.pem
Removing debian:TC_TrustCenter_Class_3_CA_II.pem
Removing debian:UTN_USERFirst_Email_Root_CA.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_2.pem
Removing debian:WellsSecure_Public_Root_Certificate_Authority.pem
Removing debian:WoSign.pem
Removing debian:WoSign_China.pem
Removing debian:CA_WoSign_ECC_Root.pem
Removing debian:Certification_Authority_of_WoSign_G2.pem
Removing debian:S-TRUST_Universal_Root_CA.pem
Removing debian:TÜRKTRUST_Elektronik_Sertifika_Hizmet_Sağlayıcısı_H6.pem
done.
done.

答え1

パッケージが悪意のある場合は、ログや実行したアクションのトレースを削除するなど、root権限でコードを実行する機会が既にあるため、証拠を見つけても見つからない場合でも、情報に基づいてサーバーが破損していると見なすことができます。あなたの方針。

そうではなく、@roaimaが述べた/etc/apt/sources.listように公式リポジトリだけを構成した場合/etc/apt/sources.d)、それ以降は問題がないと仮定できます。パッケージ署名済みインストールする前に署名を確認してください。

しかし、今何かをもう一度確認したい場合は、リストされたハッシュを確認できます。ここあなたのファイルのために/var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb。これを行うにはsha256sum /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb、文字列を実行してUbuntuページに表示されているものと文字で比較します。正確に一致する場合は、このファイルがインストールされたファイルであり、Ubuntuからインポートされたファイルであると言えます。 (Mintは独自の証明書パッケージを提供していないため、検索して確認できます。ここ)。

あなたの便宜のためにこのページから得られたハッシュはです3b464250889051e2da74d123d9d440572158d87583090c75be9eab7c2e330f14

繰り返しますが、パッケージが悪意のある場合は遅すぎます。そうでない場合は、そのままにするか、通常どおり削除を使用してくださいapt-get remove ca-certificates

ファイルが見つからない場合は、ログから誤ったバージョンが取得されたか、コンピュータの適切なキャッシュが消去され、ダウンロードしたものを確認するのが非常に困難になる可能性があります。

答え2

apt-cache policy ca-certificatesパッケージがどこから来るかを確認してください。

sudo apt-get update && sudo apt-get clean && sudo apt-get install --reinstall ca-certificates再実行すると警告が表示されますか?

apt-keyでこの警告が表示される場合は、パッケージをインストールまたは更新しないことをお勧めします。ほとんどの場合、彼らは無害です。

シールは暗号ハッシュチェーンと署名とともに使用されます。署名されたファイルはDebianイメージによって提供されるリリースファイルです。これには、パッケージファイルのリスト(圧縮形式、Packages.gz、Packages.xz、およびデルタバージョンを含む)と対応するMD5、SHA1、およびSHA256ハッシュが含まれており、ファイルが改ざんされていないことを確認します。これらのパッケージファイルには、イメージで利用可能なDebianパッケージのリストとそのハッシュが含まれており、パッケージ自体の内容が変更されていないことを保証します。

apt-key は、apt がパッケージの検証に使用するキーのリストを管理するために使用されます。これらのキーを使用して認証されたパッケージは信頼できると見なされます。

マンページで詳細を読んでください。man apt-key

答え3

構成を確認して、パッケージが安全であることを確認できる必要があります。

ca-certificates*.debまず、apt-cacheを見つけて/var/cache/apt/archive/実行します。

md5sum /var/cache/apt/archive/ca-certificates*.deb

マニュアルページによるとデプサム次の場所にあるファイル/ md5ハッシュリストを見つける必要があります/var/lib/dpkg/info/*.md5sum。このファイルをバックアップしてください。その後、リポジトリから問題のあるdebファイルを手動でインポートできます。ダウンロードしたパッケージのGPGを確認してください。またはストレージのセキュリティ構成パッケージを再インストールしてください。パッケージを再インストールした後(まったく同じバージョンを使用する必要があります)、次のものを使用できます。

md5sum -c /path.to.backup.md5

(または単にdebsumを使用してください)

Debianパッケージのすべてのファイルを一覧表示して確認します。違いが見つからないと仮定すると、以前のDebianパッケージのすべてのファイルは、現在/var/cache/apt/archivesにインストールされているよく知られている最新のdebソフトウェアに基づいているため、本物であることを確認できます。パッケージが確認されました。

これを実行しないでください。apt-clean cacheそうしないと、debパッケージがクリアされ、悪意のあるスクリプトが実行されたかどうかがわかりません。

関連情報