私は次の理由でこれを行う必要があると言われましたrpm -Va
:
システムファイルとコマンドの暗号化ハッシュがベンダーの値と一致するようにオペレーティングシステムを構成する必要があります。暗号化インテグリティ保護がないと、承認されていないユーザーは検出されず、システムコマンドとファイルを変更できます。
したがって、aがrpm -Va | grep '^..5'
完了し、返される項目がある場合は、次のようになります。問題になります。
DVDから新規インストールを実行して、この基準を正常に満たすことができました。
しかし私も同じです。言うたとえば、構成ファイルはシステムを正しく実行するためのいくつかの明白な他のファイルは言うまでも/etc/ssh/sshd_config
ありません。/etc/audit/audit.rules
rpm -Va
S.5....T
誰かがその目的や根拠を説明できますか?そしてgrep '^..5'
どのように動作するのですか?これを行う方法はありますか?はい、.confファイルを変更しましたが、rpm
指定されたパッケージを次のように表示しないように更新しました。変更?
答え1
grep '^..5
2文字で始まり、その後に続く行の出力を研究する簡単な部分から始めます5
。これは5
次のことを示します(fromman rpm
):
5つのダイジェスト(以前のMD5合計)が異なります。
そのファイルが変更されたことを示す非常に良い指標として機能します。
rpm -Va | grep ...
次に調査するときは、設定ファイルを無視することをお勧めします。指摘したように、これらのファイルはシステム管理者が変更するようになっています。幸いなことに、rpm -Va
出力はマーカーとして表示されますc
。
出力形式は9文字の文字列であり、可能な属性タグの1つは次のとおりです。
c %config configuration file. d %doc documentation file. g %ghost file (i.e. the file contents are not included in the package payload). l %license license file. r %readme readme file.
ヘッダーから来て、その後にファイル名が続きます。
...だから、次のことを考えてみましょう。
sudo rpm -Va | awk '/^..5/ && $2 != "c"'
grep ^..5
...このアイデアは、構成ファイルとして分類されたファイルを無視することに関連しています。あるいは、タグ付きの各出力ラインをキャプチャし、変更のリスクを許容するプロファイルを「ホワイトリスト」に追加することもできます。その後、静的プロファイルと推定されるプロファイルが変更されると警告が表示されます。
RPMを再パッケージ化しないと、設定ファイルが変更されたことを示すためにRPMデータベースのダイジェストを更新する方法がわからないため、上記の回避策を提案します。