centos(linux): rpm -V 验证rpm包安装程序的安全

一，作用

rpm -Va: 校验所有的RPM软件包，通常用来检查系统文件是否被植入后门或rootkit

二，例子

# -V: 校验软件包，此校验功能可以用来确认文件是否被修改或覆盖

# -a:  RPM 校验系统中所有已安装的软件包

[root@blog ~]# rpm -Va > rpmva.txt

返回结果:

[root@blog ~]# more rpmva.txt
....L....  c /etc/pam.d/fingerprint-auth
....L....  c /etc/pam.d/password-auth
....L....  c /etc/pam.d/postlogin
....L....  c /etc/pam.d/smartcard-auth
....L....  c /etc/pam.d/system-auth
.M.......  g /var/log/dmesg
.M.......  g /var/log/dmesg.old
.......T.  c /etc/selinux/targeted/contexts/customizable_types
S.5....T.  c /etc/sysconfig/authconfig
.M.......  g /etc/pki/ca-trust/extracted/java/cacerts
.M.......  g /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
.M.......  g /etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem
.M.......  g /etc/pki/ca-trust/extracted/pem/objsign-ca-bundle.pem
.M.......  g /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
.M.......  g /boot/initramfs-3.10.0-957.el7.x86_64.img

结果说明:

S 表示文件长度发生了变化 
M 表示文件的访问权限或文件类型发生了变化 
5 表示MD5校验和发生了变化 
D 表示设备节点的属性发生了变化 
L 表示文件的符号链接发生了变化 
U 表示文件/子目录/ 设备节点的owner 发生了变化 
G 表示文件/子目录/ 设备节点的group 发生了变化 
T 表示文件最后一次的修改时间是发生了变化

类型说明:

c：配置文件（config file）
d：普通文档（documentation）
g：“鬼”文件（ghostfile），很少见，就是该文件不应该被这个RPM包包含（说明这个rpm包出现了异常）。
l：授权文件（license file）
r：描述文件（read me）

三，其他用法:

1, 校验指定的包:

[root@blog ~]# rpm -V rkhunter
.M.......  g /var/lib/rkhunter/db/backdoorports.dat
.M.......  g /var/lib/rkhunter/db/mirrors.dat
.M.......  g /var/lib/rkhunter/db/programs_bad.dat

 

2, 校验包含指定文件的软件包是否被修改

# -f: 选项 -f 或者 --file 校验含有指定文件的软件包。
如果用户仅知道某个文件，但忘了它所在的软件包，又想校验这个包时，可用此选项

[root@blog ~]# rpm -Vf /var/lib/rkhunter/db/mirrors.dat
.M.......  g /var/lib/rkhunter/db/backdoorports.dat
.M.......  g /var/lib/rkhunter/db/mirrors.dat
.M.......  g /var/lib/rkhunter/db/programs_bad.dat