我运行了更新管理器图形用户界面。当我要求它安装所有软件包时,它提示我确定要安装。有 3 个软件包下拉列表,其中之一名为“未授权”。所以我回去尝试一次安装一个软件包。我选择了一个名为“ca-certificates”的证书,因为我认为如果我这样做,可能会让其他证书在没有警告的情况下安装,而且我认为我有机会说不。但是当我只用那个包运行它时,它就继续安装,没有提示我。我认为这个人可能第一次就被列入顽皮名单上。所以现在我得到了一个可能是恶意的更新。
我怎么知道这是否合法?如果不是,我该如何删除它?
我在控制台输出或 中没有看到任何可疑的内容/var/log/dpkg.log,但如果有帮助的话我可以发布。
我正在使用 Linux Mint 版本 1.17.3 和 dpkg 版本 1.17.5。我不知道更新管理器的版本(但它是一个名为 的文件/usr/lib/linuxmint/mintUpdate/mintUpdate.py)。
/var/log/dpkg.log:
2017-11-05 12:12:26 startup archives unpack
2017-11-05 12:12:32 upgrade ca-certificates:all 20160104ubuntu0.14.04.1 20170717~14.04.1
2017-11-05 12:12:32 status half-configured ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status unpacked ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status triggers-pending man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 trigproc man-db:amd64 2.6.7.1-1ubuntu1 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-configured man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:34 status installed man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:35 startup packages configure
2017-11-05 12:12:35 configure ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:35 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:35 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status installed ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status triggers-pending ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:38 trigproc ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:38 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:43 status installed ca-certificates:all 20170717~14.04.1
更新的控制台输出:
(synaptic:12479): GLib-CRITICAL **: g_child_watch_add_full: assertion 'pid > 0' failed
Preconfiguring packages ...
(Reading database ... 180668 files and directories currently installed.)
Preparing to unpack .../ca-certificates_20170717~14.04.1_all.deb ...
Unpacking ca-certificates (20170717~14.04.1) over (20160104ubuntu0.14.04.1) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Setting up ca-certificates (20170717~14.04.1) ...
Processing triggers for ca-certificates (20170717~14.04.1) ...
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
17 added, 42 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:AC_RAIZ_FNMT-RCM.pem
Adding debian:Amazon_Root_CA_1.pem
Adding debian:Amazon_Root_CA_2.pem
Adding debian:Amazon_Root_CA_3.pem
Adding debian:Amazon_Root_CA_4.pem
Adding debian:Certplus_Root_CA_G1.pem
Adding debian:Certplus_Root_CA_G2.pem
Adding debian:Certum_Trusted_Network_CA_2.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
Adding debian:ISRG_Root_X1.pem
Adding debian:LuxTrust_Global_Root_2.pem
Adding debian:OpenTrust_Root_CA_G1.pem
Adding debian:OpenTrust_Root_CA_G2.pem
Adding debian:OpenTrust_Root_CA_G3.pem
Adding debian:SZAFIR_ROOT_CA2.pem
Adding debian:TUBITAK_Kamu_SM_SSL_Kok_Sertifikasi_-_Surum_1.pem
Removing debian:AC_Raíz_Certicámara_S.A..pem
Removing debian:ApplicationCA_-_Japanese_Government.pem
Removing debian:Buypass_Class_2_CA_1.pem
Removing debian:CA_Disig.pem
Removing debian:ComSign_CA.pem
Removing debian:EBG_Elektronik_Sertifika_Hizmet_Sağlayıcısı.pem
Removing debian:Equifax_Secure_CA.pem
Removing debian:Equifax_Secure_Global_eBusiness_CA.pem
Removing debian:Equifax_Secure_eBusiness_CA_1.pem
Removing debian:IGC_A.pem
Removing debian:Juur-SK.pem
Removing debian:Microsec_e-Szigno_Root_CA.pem
Removing debian:NetLock_Business_=Class_B=_Root.pem
Removing debian:NetLock_Express_=Class_C=_Root.pem
Removing debian:NetLock_Notary_=Class_A=_Root.pem
Removing debian:NetLock_Qualified_=Class_QA=_Root.pem
Removing debian:RSA_Security_2048_v3.pem
Removing debian:Root_CA_Generalitat_Valenciana.pem
Removing debian:S-TRUST_Authentication_and_Encryption_Root_CA_2005_PN.pem
Removing debian:Sonera_Class_1_Root_CA.pem
Removing debian:Staat_der_Nederlanden_Root_CA.pem
Removing debian:StartCom_Certification_Authority.pem
Removing debian:StartCom_Certification_Authority_2.pem
Removing debian:StartCom_Certification_Authority_G2.pem
Removing debian:SwissSign_Platinum_CA_-_G2.pem
Removing debian:TC_TrustCenter_Class_3_CA_II.pem
Removing debian:UTN_USERFirst_Email_Root_CA.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_2.pem
Removing debian:WellsSecure_Public_Root_Certificate_Authority.pem
Removing debian:WoSign.pem
Removing debian:WoSign_China.pem
Removing debian:CA_WoSign_ECC_Root.pem
Removing debian:Certification_Authority_of_WoSign_G2.pem
Removing debian:S-TRUST_Universal_Root_CA.pem
Removing debian:TÜRKTRUST_Elektronik_Sertifika_Hizmet_Sağlayıcısı_H6.pem
done.
done.
答案1
如果该软件包是恶意的,它已经有机会以 root 权限运行代码,包括擦除日志和其所做操作的跟踪,因此无论您是否找到证据,您可能只需要考虑服务器已受到威胁,具体取决于关于你的政策。
如果情况并非如此,并且您只配置了官方存储/etc/apt/sources.list库/etc/apt/sources.d如 @roaima 所评论),您可以假设没有出现任何问题,因为这些包裹已签名并在安装之前验证它们的签名。
不过,如果您现在想仔细检查某些内容,您可以验证列出的哈希值这里针对您的文件/var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb。为此,运行sha256sum /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb字符串并将其与您在 ubuntu 页面上看到的内容逐个字符进行比较。如果它们完全匹配,您可以说这是您安装的文件并且它来自 Ubuntu(Mint 不提供自己的证书包,您可以通过搜索来确认这里)。
为了您的方便,我从该页面获得的哈希值是3b464250889051e2da74d123d9d440572158d87583090c75be9eab7c2e330f14。
同样,如果该包是恶意的,那就太晚了,如果不是,请将其留在那里或像往常一样使用 删除apt-get remove ca-certificates。
如果您找不到该文件,可能是我从您的日志中获取了错误的版本,或者您的计算机上的 apt 缓存已被清理,这将使得验证您下载的内容变得非常困难。
答案2
检查apt-cache policy ca-certificates包裹来自哪里。
sudo apt-get update && sudo apt-get clean && sudo apt-get install --reinstall ca-certificates再次运行有警告吗?
当 apt-key 弹出此警告时,最好不要安装或更新软件包。大多数时候它们是无害的。
该印章与加密哈希链和签名一起使用。签名的文件是Release文件,由Debian镜像提供。它包含 Packages 文件的列表(包括其压缩形式、Packages.gz 和 Packages.xz 以及增量版本)及其 MD5、SHA1 和 SHA256 哈希值,这可确保文件未被篡改。这些软件包文件包含镜像上可用的 Debian 软件包列表及其哈希值,这反过来又确保了软件包本身的内容也没有被更改。
apt-key 用于管理 apt 用于验证软件包的密钥列表。已使用这些密钥进行身份验证的包将被视为受信任。
请在联机帮助页中阅读更多内容。man apt-key
答案3
您应该能够回顾您的配置以验证该包是否安全。
首先,找到ca-certificates*.deb你的 apt-cache/var/cache/apt/archive/并运行
md5sum /var/cache/apt/archive/ca-certificates*.deb
根据手册页德布苏姆您应该找到位于以下位置的文件/md5 哈希值列表/var/lib/dpkg/info/*.md5sum。备份该文件。然后,您可以从存储库中手动获取有问题的 deb 文件,然后根据您下载的包验证 GPG, 或者为您的存储库配置安全性并重新安装该软件包。重新安装软件包后(确保使用完全相同的版本),您可以使用
md5sum -c /path.to.backup.md5
(或者只使用 debsum)
它将列出并验证 Debian 软件包中的每个文件。假设您没有发现任何差异,您可以确定旧 Debian 软件包中的每个文件都是可信的,因为它是根据现在安装在 /var/cache/apt/archives 中的已知良好的较新 deb 软件包进行验证的。
请务必不要运行apt-clean cache,否则您将清除 deb 包并且无法判断是否运行了恶意脚本。