我们知道rpm数据库文件目录为/var/lib/rpm,rpm数字签名验证功能主要是向系统管理员提供一种有用的管理机制,其使用/var/lib/rpm目录下的数据库内容,来比较当前linux系统环境的所有组件。当有数据丢失,或误删了某个组件的文件,或不小心修改了某个组件的文件内容,可以使用该方式来验证修改了哪些文件数据。
rpm数字签名参数
参数 | 说明 |
-V | 后面接组件名称,若组件所含的文件被更改过,会被列出来 |
-Va | 列出当前系统上所有可能被更改过的文件 |
-Vp | 列出该组件内可能更改过的文件 |
-Vf | 列出某个文件是否被更改过 |
实例:
1.列出httpd组件是否被更改过
如果没有出现任何信息,表示该组件没有被更改过。
如果出现信息,则说明该组件被更改过。
2.列出当前系统上所有可能被更改过的文件
3.列出zlib-1.2.7-18.el7.x86_64.rpm可能被修改过的文件
4.列出某个文件是否被更改过
上述红色标记含义:
第一位:S表示文件的容量大小是否被改变
第二位:M表示文件的类型或文件的属性以及可执行参数已经被改变
第三位:5表示MD5加密属性已经被改变
第四位:D表示设备名称已经被改变
第五位:L表示Link属性已经被改变
第六位:U表示文件的拥有者已经被改变
第七位:G表示文件的属组已经被改变
第八位:T表示文件的创建时间已经被改变
c:表示配置文件,即:文件类型,分类如下:
c:配置文件(config file)
d:文档文件(documentation)
g:"鬼"文件。通常某文件不包含在某个套件中,较少发生(ghost file)
l(小写L):授权文件(license file)
r:自述文件(read me)
所以,如果一个文件的所有信息都被改变,那么它的显示就会是:
SM5DLUGT. c filename
如果文件变更是“计划中的”,那么就没有什么大问题,如果文件变更是“非计划中的”,可以考虑系统是否被入侵?