以前有為Linux專家說過一句很經典的話“小即是美”。這句話一針見血的道出了Linux操作系統的設計特點。Linux操作系統跟微軟操作系統不同,它都是一個個相對獨立的軟件所構成的一個操作系統,一個軟件包完成一項單獨的功能。為此Linux系統管理員平時大部分工具都在跟Linux系統軟件包打交道。系統管理員要根據企業員工的需要,選擇並安裝恰當的軟件包。故軟件包直接跟Linux系統的安全與性能相關。為此為了創造一個穩定、安全的Linux操作系統環境,系統管理員最好在安裝軟件包之間先對軟件包進行合法性驗證。筆者下面就介紹幾種常用的驗證方法,來幫助大家識別Linux軟件包的合法性。
一、檢查軟件包有否被篡改。
當系統工程師從網絡上下載一個軟件包之後,其最關心的就是這個軟件包是否被篡改過。如一些非法攻擊者會否在一些著名軟件包中捆綁一些非法軟件等等。為此系統工程師希望有工具能夠幫助他來驗證軟件包是否被人處理過。如果為了達到這個目的,則系統工程師可以通過rpm –k命令來進行驗證。驗證結果如圖所示。為了安全起見,筆者已經把Linux服務器的主機名與賬戶隱去。
如果這個JDK的軟件包沒有被人修改過或者沒有損壞,則結果就會如上圖所示。Shal md5 OK這個簡短的信息,就告訴系統工程師這個軟件包沒有被篡改過的跡象,可以放心使用。但是這個命令有一個缺陷,即只適用於rpm軟件包。如果系統工程師所下載的軟件包不是RPM格式的,則會提示如下的錯誤信息。
不過筆者在這裡也建議各位Linux系統管理員,最好通過RPM來管理軟件。RPM軟件包是一種開發的軟件包管理系統,它簡化了系統的維護工作,只需要短短的幾個指令便可以完成安裝軟件包、刪除軟件包、系統驗證等功能。RPM軟件包有很多的特點。如通過使用RPM,系統管理員不用重新安裝整個操作系統,就可以升級系統中的個別組件。RPM軟件包會使用一種智能且完全自動化的方式來升級組件,而且軟件包的設定文件將會在升級的過程中被保留下來。即如果對郵件客戶端進行升級後,原先的帳戶等設定將會被保留;如對辦公軟件進行升級,則原先的工具欄等用戶偏愛設置也都將保留下來,用戶不用在升級後進行重新設置,等等。這些措施可以大大的方便管理員的維護。如RPM可以驗證軟件包。如系統管理員在維護操作系統的時候,可能會擔心不小心刪除了某個軟件包中的重要文件,則可以對這個軟件包進行驗證。如果這個軟件包從安裝到現在,相關的文件有任何改變都將被查詢出來。為此系統管理員可以根據需要選擇是否需要重新安裝該軟件包。可見RPM軟件包的很多特性,都可以簡化Linux系統工程師的工作。為此筆者在這裡強烈建議大家通過RPM的方式來管理軟件包。像上面驗證軟件包是否被篡改以及是否損壞也是RPM特有的功能之一。
