如何验证软件包完整性 rpm校验与debsums工具

验证软件包完整性是检查系统文件是否被修改、损坏或替换的过程，rpm系用rpm -v命令，debian系用debsums工具，两者均通过比对文件校验和与属性实现；2. rpm -v输出字符表示差异类型，如5（md5变化）、m（权限变化）、s（大小变化）等，c表示配置文件；3. debsums需先安装，使用debsums package_name或debsums --all检查，输出failed表示校验失败；4. 软件包完整性对安全防护、系统稳定、故障排查和合规审计至关重要，可发现恶意篡改、硬件损坏或配置错误；5. 高级用法包括过滤配置文件、指定校验算法、结合cron定期自动化检查并邮件告警，提升运维效率与安全性。

验证软件包完整性，简单来说，就是检查你系统上安装的软件文件，看看它们是不是和最初安装时一模一样，有没有被修改、损坏或者偷偷摸摸地替换过。在RPM系（如CentOS, Fedora）和Debian系（如Ubuntu, Debian）Linux发行版里，我们有各自趁手的工具来干这事儿：RPM自带的校验功能和Debian系的

debsums

解决方案

在基于RPM的系统上，验证软件包完整性的主力是

rpm

rpm -V

rpm --verify

httpd

rpm -V httpd

如果没有任何输出，那就说明一切正常，文件都和数据库里记录的一致。但如果它输出了字符，那就表示有问题了。这些字符代表了文件属性的差异：

• S

  ：文件大小（Size）改变

• M

  ：文件权限（Mode）改变

• 5

  ：MD5校验和改变（这是最常见的完整性问题）

• D

  ：设备文件（Device）改变

• L

  ：读取链接（Link）改变

• U

  ：文件所有者（User）改变

• G

  ：文件所属组（Group）改变

• T

  ：修改时间（Time）改变

• P

  ：功能（Capabilities）改变

在这些字符后面，如果跟着一个

c

而在Debian/Ubuntu这类系统上，我们依赖的是

debsums

sudo apt install debsums

安装好后，用法也比较直接。比如，要检查

apache2

debsums apache2

如果你想检查所有已安装软件包的完整性，可以运行：

debsums --all

这个命令会列出所有校验和不匹配的文件。

debsums

/etc/apache2/apache2.conf FAILED

apache2.conf

我个人就遇到过一次，服务器莫名其妙地出现一些奇怪的日志，跑了

rpm -Va

5

M

为什么我们应该关注软件包的完整性？

说实话，刚开始接触Linux那会儿，我压根没想过这事儿。觉得系统装好了，跑着就得了，谁会去管文件是不是“原装”的？后来吃了几次亏，才发现软件包完整性验证这东西，简直就是系统安全的最后一道防线，也是故障排查的利器。

首先，安全是头等大事。恶意攻击者一旦入侵系统，最常见的做法就是替换系统关键文件，比如

ls

ps

netstat

ls

其次，系统稳定性也离不开它。文件在磁盘上存储，可能会因为硬件故障（比如坏道）、电源突然中断、或者不当操作而损坏。一个核心库文件哪怕只有一小段损坏，都可能导致应用程序崩溃，甚至整个系统无法启动。校验工具能迅速定位到这些损坏的文件，让你知道是哪个文件出了问题，以便及时修复或重新安装。

再者，它对故障排查非常有帮助。有时候系统出问题了，你百思不得其解。是不是哪个配置改错了？是不是哪个文件被误删了？或者升级过程中出错了？跑一遍完整性校验，如果发现某个关键文件被改动了，那排查方向一下就清晰了。它就像是个数字侦探，帮你找出那些“案发现场”的蛛丝马迹。

最后，对于一些有合规性要求的环境，定期进行软件包完整性检查是必不可少的审计环节。确保系统处于一个已知的、未被篡改的状态，是很多安全标准的基础要求。

rpm校验工具的具体用法与输出解读

RPM的校验功能，我个人觉得设计得非常精妙，它不仅检查文件内容（通过MD5），还细致到文件属性。当你运行

rpm -V package_name

举个例子，如果输出是这样：

S.5....T.  c /etc/ssh/sshd_config

这表示

/etc/ssh/sshd_config

• S

  ：文件大小（Size）变了。你可能添加或删除了配置行。

• .

  ：权限（Mode）没变。

• 5

  ：MD5校验和变了。这是肯定的，因为文件内容变了。

• ....

  ：设备、链接、用户、组都没变。

• T

  ：修改时间（Time）变了。你编辑过它，所以修改时间肯定更新了。

• .

  ：功能（Capabilities）没变。

• c

  ：表示这是一个配置文件。

如果你看到这样的输出：

Runway

Runway是一个AI创意工具平台，它提供了一系列强大的功能，旨在帮助用户在视觉内容创作、设计和开发过程中提高效率和创新能力。

下载

SM5....T.  /usr/bin/ls

这可就得警惕了。

/usr/bin/ls

S

M

5

T

另一个非常常用的命令是

rpm -Va

rpm -Va | grep -v "c /"

RPM校验的原理，是它在安装每个包时，都会把包里每个文件的MD5校验和、权限、大小、所有者、组、修改时间等元数据信息记录到它自己的数据库里（通常在

/var/lib/rpm

rpm -V

debsums工具的安装、使用与高级技巧

debsums

debsums

--all

安装：

sudo apt update
sudo apt install debsums

基本使用：

• 检查单个包：

  debsums nginx

  如果文件有问题，它会输出类似

  /etc/nginx/nginx.conf FAILED

  这样的信息。

• 检查所有已安装的包：

  debsums --all

  这个命令会遍历所有已安装的Debian包，并检查它们的完整性。如果输出太多，你可以像我平时那样，结合

  grep

  来筛选：

  debsums --all | grep FAILED

  这只会显示那些校验失败的文件。

• 只检查已更改的文件：

  debsums --changed

  这个命令比

  --all

  更高效，因为它只列出那些校验和不匹配的文件，而不会打印所有正常的文件。这在日常巡检中非常实用。

高级技巧：

• 忽略配置文件：

  debsums

  默认会检查配置文件。如果你知道配置文件经常被修改，想忽略它们，可以使用

  --no-conffiles

  ：

  debsums --all --no-conffiles | grep FAILED

  这在排查非用户修改导致的问题时很有用。

• 检查指定类型的校验和：

  debsums

  默认使用MD5校验和，但有些包可能提供了SHA256等更安全的校验和。你可以通过

  --checksums

  参数指定：

  debsums --checksums=sha256sum --all

  （当然，前提是软件包的

  .md5sums

  文件里包含了SHA256校验和，这不总是有的。）

• 定期自动化检查： 鉴于完整性检查的重要性，我通常会把它加入到服务器的日常维护任务中，比如通过cronjob每天或每周执行一次。一个简单的脚本可能是这样的：

  #!/bin/bash
  
  LOGFILE="/var/log/debsums_check.log"
  TIMESTAMP=$(date +"%Y-%m-%d %H:%M:%S")
  
  echo "--- Debsums integrity check started at $TIMESTAMP ---" >> "$LOGFILE"
  debsums --changed >> "$LOGFILE" 2>&1
  
  if grep -q "FAILED" "$LOGFILE"; then
      echo "WARNING: Debsums check found changed files. Please review $LOGFILE" | mail -s "Debsums Integrity Alert" your_email@example.com
  fi
  echo "--- Debsums integrity check finished at $TIMESTAMP ---" >> "$LOGFILE"

  然后把这个脚本放到

  /etc/cron.daily/

  或者

  /etc/cron.weekly/

  下，或者用

  crontab -e

  设置定时任务。这样，一旦有文件被篡改，你就能及时收到通知。

debsums

.deb

/var/lib/dpkg/info/

.md5sums

debsums