Ho installato Debian. Quando ci sono aggiornamenti di sicurezza, li rivedo e li installo il prima possibile e penso a utilizzare gli aggiornamenti automatici.
Di tanto in tanto voglio avviare da un CD di avvio pulito e controllare se il sistema è stato compromesso.
Per questo motivo, voglio controllare se qualche pacchetto / binario è stato modificato, controlla il bootloader, controlla i rootkit.
Supponiamo di essere stato avviato da un CD di avvio pulito e montato il file system hdd.
Come posso ottenere l'elenco di tutte le somme di hash sha256 di tutti i file binari e di configurazione installati e confrontarli con le versioni dal repository Debian?
Ho esaminato i sistemi di rilevamento delle intrusioni (debsum,) Afick, AIDE, FCheck, Integrit, Osiris, OSSEC, Samhain, Tripwire, ma hanno tutti in comune, che vogliono creare un database ben noto prima del controllo. Questo non si adatta molto bene, perché gli aggiornamenti sono piuttosto frequenti, il che rende meno utile quel database di buon livello. Anche ricreare il database di buona reputazione dopo l'aggiornamento non è molto sicuro - diciamo che apt-get ha avuto un bug e installato un pacchetto dannoso, quindi il checksum di quel pacchetto dannoso finirà nel database di buona reputazione.
Penso che la vera soluzione stia controllando il repository dei pacchetti della distribuzione. Come posso farlo?