debsums是一个用于验证Debian系系统中已安装deb包文件完整性的工具,通过比对文件的MD5校验和与原始记录值,检测文件是否被篡改或损坏;它读取/var/lib/dpkg/info/目录下的.md5sums文件进行校验,需手动安装:sudo apt update && sudo apt install debsums;可检查单个包(debsums bash)、所有包(sudo debsums -a)、仅显示失败项(sudo debsums -c)或排除配置文件(sudo debsums -a -e);输出中OK表示正常,FAILED表示不匹配(可能被修改),missing表示文件丢失;虽不能防御高级攻击,但定期使用debsums -c有助于发现异常,是简单有效的系统安全检查手段。
在Linux系统中,尤其是基于Debian的发行版(如Ubuntu),deb包是常用的软件安装格式。为了确保系统安全和软件完整性,验证deb包的校验和非常重要。这时可以使用一个专门的工具——debsums,来检查已安装的deb包文件是否被篡改或损坏。
什么是debsums?
debsums 是一个用于验证已安装的 Debian 包中文件完整性的小工具。它通过比对文件的MD5校验和与系统记录的原始校验值,判断文件是否发生变化。
每个deb包在安装时都会附带一个校验和列表(通常位于 /var/lib/dpkg/info/
安装debsums工具
debsums 并不默认安装在所有系统上,需要手动安装:
sudo apt update
sudo apt install debsums
使用debsums验证deb包
安装完成后,可以通过以下几种方式使用 debsums 进行校验:
-
检查单个软件包:
debsums package-name
例如:debsums bash -
检查所有已安装的包:
sudo debsums -a
这会扫描系统中所有带有校验和记录的文件并输出结果。 -
仅显示校验失败的文件:
sudo debsums -c
只输出校验和不匹配的文件路径,适合用于安全审计。 -
忽略配置文件的变化:
配置文件常被用户修改,可使用:
sudo debsums -a -e
参数 -e 表示 exclude config files(排除配置文件)。
常见输出说明
运行 debsums 后可能出现以下结果:
- OK:文件校验通过,未被修改。
- FAILED:文件内容与原始包不一致,可能被篡改或损坏。
- missing:文件已被删除。
注意:某些“FAILED”可能是正常现象,比如管理员主动修改了配置文件。
基本上就这些。debsums 虽然不能防御高级攻击,但作为基础的文件完整性检查工具,对维护系统安全很有帮助。定期运行 debsums -c 可以及时发现异常变动。不复杂但容易忽略。
