next up previous contents Next: Examens spéciaux. Up: Paquets binaires RedHat et Previous: Liste et examen de   Table des matières  


25.2.6 Vérification des paquets.

Il arrivera bien que vous vouliez rechercher les fichiers d'un paquet qui ont été modifiés depuis l'installation (éventuellement par un programmeur ou un administrateur incompétent). La vérification de tous les paquets est très consommatrice de temps, mais elle donne des informations très précieuses:

rpm -V `rpm -qa` 
( debsums -a ) 


Cependant, il n'existe pas encore de méthode pour affirmer que le paquet installé est le vrai paquet (voir la section 45.3.1). Pour procéder à une telle vérification, vous devez obtenir le vrai paquet .deb ou .rpm et opérer la vérification de cette manière:

rpm -Vp openssh-2.1.1p4-1.i386.rpm 
( debsums openssh_2.1.1p4-1_i386.deb ) 


Finalement, même si vous avez le paquet sous la main, comment pouvez-vous être sûr qu'il s'agit bien du paquet d'origine des développeurs et qu'aucun cheval de Troie (en anglais trojan) n'y est incorporé? Utilisez la commande md5sum:

md5sum openssh-2.2.2p4-1.i386.rpm 
( md5sum openssh-2.2.2p4-1.i386.deb ) 


La commande md5sum utilise un algorithme mathématique (MD5) pour calculer une valeur numérique basée sur le contenu du fichier, en l'occurrence 8e8d8e95db7fde99c09e1398e4dd3468. Cette méthode est semblable à celle utilisée pour le chiffrement des mots de passe (voir la section 12.3). Il n'existe pas de méthode permettant de forger un paquet truqué de même MD5 qu'un paquet original. Donc, les développeurs publient les résultats de leurs sommes md5 (md5sum) sur leurs pages web et il vous suffit de faire une comparaison entre le nombre qu'ils donnent et celui que vous retourne la commande md5sum.


next up previous contents Next: Examens spéciaux. Up: Paquets binaires RedHat et Previous: Liste et examen de   Table des matières  
1-01-2006