md5sum howto?
Hallo,
ich habe gerade mal "chkrootkit" ('md5sum -c und -b) durchlaufen lassen,
dabei bin ich beim Thema "Verlässlichkeit" dieser Tests darauf
gestossen, dass es andere , spezifischere Tests gibt wie z.B.
MD5-Prüfsummen.
Also habe ich mal mit "md5sum" mein chkrootkit "überprüft". Das Ende vom
Lied ist, dass mir eine Summe ausgegeben wurde! Der Output sagt
allerdings wenig aus, ob das Programm mal modifiziert wurde während
einer Online-Session.
Die Man-Page zu md5sum ist sehr mager, und da ich nicht gerade der
Sicherheitsexperte bin auch nicht besonders aussagekräftig für mich!
Google war sehr wenig auskunftfreudig und die FAQ der Liste gibt nicht
viel dazu her zum Thema.
Hier meine Frage(n):
1.Was sagt.c29daf1d9fe836053e9f4f0a67a7a94e */usr/sbin/chkrootkit aus?
(dazugehöriger Befehl: md5sum -b /usr/sbin/chkrootkit) ?
2. Gibt es zur Arbeit mit "md5sum" etwas mehr Doku als die magere
Man-Page, egal ob Englisch oder Deutsch?
MfG
Thomas
--
Häufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
Hallo Thomas, Thomas Schönhoff wrote: > Also habe ich mal mit "md5sum" mein chkrootkit "überprüft". Das Ende vom > Lied ist, dass mir eine Summe ausgegeben wurde! Der Output sagt > allerdings wenig aus, ob das Programm mal modifiziert wurde während > einer Online-Session. Das kannst Du mit debsums überprüfen oder, umständlicher, indem Du die Ausgabe von md5sum mit dem Eintrag in der Datei md5sums im entsprechenden .deb vergleichst (z.B. mittels mc lässt sich bequem der Inhalt von Debian-Paketen betrachten). Martin -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
Hallo Thomas, Thomas Schönhoff wrote: > Martin Samesch schrieb: >>Das kannst Du mit debsums überprüfen > > hmm, wie ja schon berichtet spukt md5 eine Prüfsumme aus! Wenn ich jetzt > "debsums" auf chkrootkit ansetze, dann erhalte ich: > > --- > thomas:thomas > debsums chkrootkit > debsums: no md5sums for chkrootkit > -- Ohne jetzt in die Manpage zu schauen, vermute ich aus dem hohlen Kopf heraus einfach mal, dass es debsums -c chkrootkit ist, was Du brauchst. Martin -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
Martin Samesch schrieb:
Hallo Thomas,
Thomas Schönhoff wrote:
Martin Samesch schrieb:
Das kannst Du mit debsums überprüfen
hmm, wie ja schon berichtet spukt md5 eine Prüfsumme aus! Wenn ich jetzt
"debsums" auf chkrootkit ansetze, dann erhalte ich:
---
thomas:thomas > debsums chkrootkit
debsums: no md5sums for chkrootkit
--
Ohne jetzt in die Manpage zu schauen, vermute ich aus dem hohlen Kopf
heraus einfach mal, dass es debsums -c chkrootkit ist, was Du brauchst.
Martin
Hallo,
aus der Man-Page hatte ich dieses Kommando herausgeholt, aber...Fehlanzeige!
thomas:thomas> md5sum -c /path/to/chkrootkit
ergibt:
snip--
md5sum: Zeile nicht erkannt: ${echo} -n "$1"
md5sum: Zeile nicht erkannt: else
md5sum: Zeile nicht erkannt: ${echo} "${1}\c"
md5sum: Zeile nicht erkannt: fi
md5sum: Zeile nicht erkannt: }
md5sum: Zeile nicht erkannt:
md5sum: Zeile nicht erkannt: # main
md5sum: Zeile nicht erkannt: #
md5sum: Zeile nicht erkannt:
md5sum: Zeile nicht erkannt:
md5sum: Zeile nicht erkannt: -xexpert mode
md5sum: Zeile nicht erkannt: ### use the path provided with the -p option
md5sum: Zeile nicht erkannt: if [ "${QUIET}" = "t" ]; then
md5sum: Zeile nicht erkannt: if [ ${STATUS} -eq 0 ]; then
md5sum: keine Dateien geprüft
snap
Hmm, nicht das was ich suche!
MfG
Thomas
--
Häufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Thomas Schönhoff schrieb: > Also habe ich mal mit "md5sum" mein chkrootkit "überprüft". Das Ende vom > Lied ist, dass mir eine Summe ausgegeben wurde! Der Output sagt Richtig, viel mehr macht md5sum nicht - es berechnet den md5-Hash-Wert einer Datei. Dies ist ein mit hoher Wahrscheinlichkeit für jede Datei "eindeutiger" Wert. > allerdings wenig aus, ob das Programm mal modifiziert wurde während > einer Online-Session. Richtig. Darüber sagt das gar nichts aus, nicht nur wenig. > Die Man-Page zu md5sum ist sehr mager, und da ich nicht gerade der > Sicherheitsexperte bin auch nicht besonders aussagekräftig für mich! Nun ja, viel zu sagen gibt es zu diesem Programm glaube ich auch nicht. ;) > 1.Was sagt.c29daf1d9fe836053e9f4f0a67a7a94e */usr/sbin/chkrootkit aus? c29daf1d9fe836053e9f4f0a67a7a94e ist der md5 Hashwert von /usr/sbin/chkrootkit. Nicht mehr und nicht weniger sagt das aus und alleine mit dem Hashwert kannst du gar nichts anfangen. Interessant sind md5-Werte zum Authentifizierung von Daten nur, wenn du (aus zuverlässiger Quelle) den md5-Wert der Originaldatei kennst - und zum Authetifizieren von vor allem sicherheitsrelevanten Daten ist AFAIK eine GnuPG/PGP-Signatur erheblich besser geeignet. md5-"Summen" sind ganz gut geeignet um festzustellen, ob bei einer Datenübertragung Fehler aufgetreten sind - auf dem FTP-Server liegt eine md5sums-Datei, die die md5-Werte aller Dateien beinhaltet. Nach dem Download aller Dateien kann man selber dann die md5-Werte berechnen lassen und diese mit den vom FTP-Server bekannten Werten vergleichen. Unterscheiden sie sich bei einer Datei, wurde diese bei der Übertragung verändert. Sind sie gleich, ist die entsprechende Datei mit extrem hoher Wahrscheinlichkeit korrekt übertragen worden. Grüße, Gunter - -- +-+-+-+-+-+-+ PDEPP Webserver: http://pdepp.SourceForge.net/ +-+-+-+-+-+-+ "There must be a hundred silver dollars in here," moaned Boggis, waving a purse. "I mean, that's not my league. That's not my class. I can't handle that sort of money. You've got to be in the Guild of Lawyers or something to steal that much."-- (Terry Pratchett, Wyrd Sisters) +-+-+-+-+-+-+-+-+-+-+-+-+- http://www.lspace.org -+-+-+-+-+-+-+-+-+-+-+-+-+ -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE+Haoe0ORHvREo8l8RAq6AAJwM+mZ2oqxJTsDe/iNihE6tFeCdbwCfTedP tpmslCAZN+znv0sKjTP41gA= =Lk3v -END PGP SIGNATURE- -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
Thomas Schönhoff wrote: Hmm, nicht das was ich suche! Die von Dir als zu prüfen übergebene Datei ist ja auch keine checksum-Datei, sondern ein script! Eine "normale" md5-Datei besteht dagegen aus einer oder mehreren Zeilen wie 2b1d4e73d1af1911bbf831eafaca3b97 KNOPPIX_V3.1-2003-01-01-DE.iso und aus mix anderem Das kannst Du mit einem normalen Text-Viewer überprüfen. Hauke -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
Hallo Thomas, Thomas Schönhoff wrote: > Martin Samesch schrieb: >> >>Ohne jetzt in die Manpage zu schauen, vermute ich aus dem hohlen Kopf >>heraus einfach mal, dass es debsums -c chkrootkit ist, was Du brauchst. > aus der Man-Page hatte ich dieses Kommando herausgeholt, aber...Fehlanzeige! Du hast in die Manpage geschaut? Ich inzwischen auch. Stimmt, -c wars nicht, aber wie wärs denn damit: -g, --generate=[missing|all][,keep[,nocheck]] Generate MD5 sums from deb contents missing Generate MD5 sums from the deb for packages which don't provide one. Martin -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
Thomas Schönhoff schrieb: > 1.Was sagt.c29daf1d9fe836053e9f4f0a67a7a94e */usr/sbin/chkrootkit > aus? (dazugehöriger Befehl: md5sum -b /usr/sbin/chkrootkit) ? md5sum erzeugt eine Prüfsumme. Der Unterschied von MD5 zu einem simplen Verfahren ist, dass es eine Einweg-/Falltür-Funktion ist. Nehmen wir zum Vergleich ein simples Verfahren: alles addieren und dann die letzte Ziffer der Summe als Prüfsumme nehmen. Wenn Du auf diesem Weg eine Prüfsumme erstellst, Daten und Prüfsumme übermittelst und am anderen Ende mit dem gleichen Algorithmus überprüft wird, hat diese Verfahren einen generellen Nachteil. Wäre eine Datenziffer verändert worden (aufgrund von Fehler oder absichtlich), wäre auch die Prüfsumme eine andere und die Veränderung würde auffallen. Es könnte aber simpelst ein "Korrekturwert" eingefügt werden. Das gleiche passiert bei zwei Fehlern, die sich geschickt "ergänzen". Gegen die sich gegenseitig aufhebenden Fehler reichen meistens schon CRC-Verfahren. Gegen das gezielte Manipulieren nur Kryptographisches. Der MD5-Einweg-Hash ist wie ein Fingerabdruck. Er ist noch relativ einfach zu ermitteln. Es wird Dir aber unter realistischen Gesichtspunkten nicht gelingen eine Datei zu erzeugen, die exakt den gleichen Hash-Wert ergibt. Insofern kann man an dieser Stelle auch keine unbemerkten Manipulationen ausführen. -- [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
Martin Samesch schrieb: Hallo Thomas, Thomas Schönhoff wrote: aus der Man-Page hatte ich dieses Kommando herausgeholt, aber...Fehlanzeige! Du hast in die Manpage geschaut? Ich inzwischen auch. Stimmt, -c wars nicht, aber wie wärs denn damit: -g, --generate=[missing|all][,keep[,nocheck]] Generate MD5 sums from deb contents missing Generate MD5 sums from the deb for packages which don't provide one. Martin Hallo Martin, eigentlich genau, was ich befürchtet habe, es gibt nur original MD5sums für debconf, alle anderen Programme haben diese offenbar nicht von Haus aus!? Wenn ich also jetzt eine MD5-Summe erzeuge, werde ich wohl nie erfahren, ob es sich um das Programm im Normalzustand handelt, oder ob es irgendwann während eines unbedachten Moments verändert wurde!? Es war eigentlich mein Ziel, genau dies herauszufinden! Trotzalledem, vielen Dank für die Antworten Thomas -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
[Viele ueberfluessige Leereilen entfernt] Thomas Schönhoff <[EMAIL PROTECTED]> wrote: > Martin Samesch schrieb: >>Thomas Schönhoff wrote: >>>aus der Man-Page hatte ich dieses Kommando herausgeholt, aber...Fehlanzeige! >>Du hast in die Manpage geschaut? Ich inzwischen auch. Stimmt, -c wars >>nicht, aber wie wärs denn damit: >> -g, --generate=[missing|all][,keep[,nocheck]] >> Generate MD5 sums from deb contents >> >> missing >> Generate MD5 sums from the deb for packages >> which don't provide one. > eigentlich genau, was ich befürchtet habe, es gibt nur original MD5sums > für debconf, alle anderen Programme haben diese offenbar nicht von Haus > aus!? Nein. Aus dem Bauch heraus geschaetzt kommen mehr als 60% aller Pakete mit md5-Pruefsummen. > Wenn ich also jetzt eine MD5-Summe erzeuge, werde ich wohl nie erfahren, > ob es sich um das Programm im Normalzustand handelt, oder ob es > irgendwann während eines unbedachten Moments verändert wurde!? [...] Ja. cu andreas -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5sum howto?
* Thomas Schönhoff <[EMAIL PROTECTED]> [10-01-03 14:33]: > Wenn ich also jetzt eine MD5-Summe erzeuge, werde ich wohl nie erfahren, > ob es sich um das Programm im Normalzustand handelt, oder ob es > irgendwann während eines unbedachten Moments verändert wurde!? Es war > eigentlich mein Ziel, genau dies herauszufinden! Hallo Thomas Du solltest dir mal Programme wie AIDE oder Tripwire anschauen, die machen das was du suchst. $ apt-cache show aide Description: Advanced Intrusion Detection Environment AIDE creates a database from the regular expression rules that it finds from the config file. Once this database is initialized it can be used to verify the integrity of the files. It has several message digest algorithms (md5,sha1,rmd160,tiger,haval,etc.) that are used to check the integrity of the file. More algorithms can be added with relative ease. All of the usual file attributes can also be checked for inconsistencies. . You will almost certainly want to tweak the configuration file in /etc/aide/aide.conf. See manual.html for information on this file. HTH Jens -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
