¿Puede dpkg verificar archivos de un paquete instalado?

31

Con rpm -qV openssh-serverobtendré una lista de archivos que han cambiado en comparación con los predeterminados.

~$ rpm -qV openssh-server
S.?....T.  c /etc/ssh/sshd_config
~$

¿Puede dpkgUbuntu hacer lo mismo?

linux ubuntu debian rpm dpkg Sandra
fuente

Respuestas:

21

No lo creo, en Ubuntu md5 las sumas de verificación solo se almacenan para ciertos archivos. Para cualquier paquete dado, la lista de archivos que tienen sumas de verificación se puede encontrar en

/var/lib/dpkg/info/<package>.md5sums

p.ej

/var/lib/dpkg/info/openssh-server.md5sums

Estos generalmente no contienen una lista completa de los archivos que han sido instalados por un paquete, por ejemplo, openssh-server.md5sums

bb5096cf79a43b479a179c770eae86d8  usr/lib/openssh/sftp-server
42da5b1c2de18ec8ef4f20079a601f28  usr/sbin/sshd
8c5592e0d522fa0f8f55f3c104479ef5  usr/share/lintian/overrides/openssh-server
cfcb67f58bcd1edcaa5a770863e49304  usr/share/man/man5/sshd_config.5.gz
71a51cbb514da3044b277e05a3ceaf0b  usr/share/man/man8/sshd.8.gz
222d4da61fcb3c65b4e6e83944752f20  usr/share/man/man8/sftp-server.8.gz

Puede usar el comando debsums (sudo apt-get install debsums) para verificar los archivos que tienen firmas md5

debsums openssh-server
/usr/lib/openssh/sftp-server                                                  OK
/usr/sbin/sshd                                                                OK
/usr/share/lintian/overrides/openssh-server                                   OK
/usr/share/man/man5/sshd_config.5.gz                                          OK
/usr/share/man/man8/sshd.8.gz                                                 OK
/usr/share/man/man8/sftp-server.8.gz                                          OK
user9517 es compatible con GoFundMonica
fuente
Los md5sums omiten los archivos de configuración (unos en / etc) porque se espera que los cambie.
psusi
Sí, el archivo / etc / ssh / sshd_config, por ejemplo, es generado por un script. En CentOS, aunque los archivos de configuración predeterminados tienen md5sums.
user9517 es compatible con GoFundMonica el
55
Las sumas de verificación md5 para archivos de configuración se almacenan en / var / lib / dpkg / status . "dpkg -V" verificará las sumas de verificación de todos los archivos del sistema, incluidos los archivos conf.
bain
25

Como en dpkg / 1.17.2, implementa la --verifyopción, de acuerdo con este informe de errores de Debian .

Tenga en cuenta que este es un cambio relativamente nuevo en dpkg. Date: Thu, 05 Dec 2013 04:56:31 +0100La línea en el paquete dpkg v1.17.2 muestra esto.

Aquí hay una breve descripción de la --verifyacción citada en la página de manual de dpkg.

   -V, --verify [package-name...]
          Verifies  the integrity of package-name or all packages if omit‐
          ted, by comparing information from the installed paths with  the
          database metadata.

          The output format is selectable with the --verify-format option,
          which by default uses the rpm format, but that might  change  in
          the  future,  and  as  such programs parsing this command output
          should be explicit about the format they expect.

Por lo tanto, puede usar una sintaxis similar yuma la de realizar verificaciones y obtener resultados en formato rpm . Por ejemplo:

dpkg --verify openssh-server

o simplemente use dpkg --verifypara verificar cada paquete instalado en su sistema.

PD

Correr, por ejemplo dpkg --verify bash, en mi máquina me dio algo como esto. (Estoy ejecutando dpkg / 1.17.5)

??5?????? c /etc/bash.bashrc
??5?????? c /etc/skel/.bashrc

Parece que los paquetes .deb solo contienen metadatos md5sums para la verificación.

pallxk
fuente
¿Qué significan estas líneas? ??5?????? c...
rubo77
@ rubo77 Ver ftp.rpm.org/max-rpm/s1-rpm-verify-output.html para el formato críptico.
pallxk
OK, eso ??5??????significa: la suma de comprobación MD5 era diferente y c = "es un archivo de configuración"
rubo77
Si solo desea advertencias de paquetes modificados, (archivos de configuración no modificados) usesudo dpkg -V | grep -v '??5?????? c'
rubo77
4

Hay debsums de herramientas que puede consultar.

# apt-cache search debsums
debsums - tool for verification of installed package files against MD5 checksums
Hrvoje Špoljar
fuente
2

Normalmente tengo una lista de archivos que quiero verificar.
Así que aquí hay una función bash simple que hace más o menos lo que quieres:

dpkg-verify() {
    exitcode=0
    for file in $*; do
        pkg=`dpkg -S "$file" | cut -d: -f 1`
        hashfile="/var/lib/dpkg/info/$pkg.md5sums"
        if [ -s "$hashfile" ]; then
            rfile=`echo "$file" | cut -d/ -f 2-`
            phash=`grep -E "$rfile\$" "$hashfile" | cut -d\  -f 1`
            hash=`md5sum "$file" | cut -d\  -f 1`
            if [ "$hash" = "$phash" ]; then
                echo "$file: ok"
            else
                echo "$file: CHANGED"
                exitcode=1
            fi
        else
            echo "$file: UNKNOWN"
            exitcode=1
        fi
    done
    return $exitcode
}

Usar así:

dpkg-verify /bin/ls /usr/bin/ld

Salida en mi entorno:

/bin/ls: ok
/usr/bin/ld: UNKNOWN

Por supuesto, debería ser bastante simple escribir un alias / script similar para verificar los archivos de un paquete específico.

Magentron
fuente
Abierto a mejoras en https://gist.github.com/Magentron/e9a85ffebd07bdf29047218fc68e31f6
Magentron
2

Utilizo este comando para verificar todos los paquetes:
dpkg -l | awk {'print $2'} | xargs | debsums | grep -v 'OK'

Debería instalar los paquetes debsumbs, gawk y findutils.

NetVicious
fuente
Agrego algunos errores (aunque como root):debsums: can't open fwupd file /var/lib/polkit-1/localauthority/10-vendor.d/fwupd.pkla (Permission denied) debsums: can't open geoclue-2.0 file /var/lib/polkit-1/localauthority/10-vendor.d/geoclue-2.0.pkla (Permission denied)
rubo77