Next: Examens spéciaux.
Up: Paquets binaires RedHat et
Previous: Liste et examen de
Table des matières
25.2.6 Vérification des paquets.
Il arrivera bien que vous vouliez rechercher les fichiers d'un paquet
qui ont été modifiés depuis l'installation (éventuellement par un
programmeur ou un administrateur incompétent). La vérification de
tous les paquets est très consommatrice de temps, mais elle donne
des informations très précieuses:
rpm -V `rpm -qa`
( debsums -a )
|
Cependant, il n'existe pas encore de méthode pour affirmer que le
paquet installé est le vrai paquet (voir la section 45.3.1).
Pour procéder à une telle vérification, vous devez obtenir le vrai
paquet .deb ou .rpm
et opérer la vérification de cette manière:
rpm -Vp openssh-2.1.1p4-1.i386.rpm
( debsums openssh_2.1.1p4-1_i386.deb
)
|
Finalement, même si vous avez le paquet sous la main, comment pouvez-vous
être sûr qu'il s'agit bien du paquet d'origine des développeurs et
qu'aucun cheval de Troie (en anglais trojan) n'y est incorporé?
Utilisez la commande md5sum:
md5sum openssh-2.2.2p4-1.i386.rpm
( md5sum openssh-2.2.2p4-1.i386.deb
)
|
La commande md5sum utilise un algorithme
mathématique (MD5) pour calculer une valeur numérique basée
sur le contenu du fichier, en l'occurrence 8e8d8e95db7fde99c09e1398e4dd3468.
Cette méthode est semblable à celle utilisée pour le chiffrement des
mots de passe (voir la section 12.3).
Il n'existe pas de méthode permettant de forger un paquet truqué de
même MD5 qu'un paquet original. Donc, les développeurs publient les
résultats de leurs sommes md5 (md5sum)
sur leurs pages web et il vous suffit de faire une comparaison entre
le nombre qu'ils donnent et celui que vous retourne la commande md5sum.
Next: Examens spéciaux.
Up: Paquets binaires RedHat et
Previous: Liste et examen de
Table des matières
1-01-2006