以前有为Linux专家说过一句很经典的话“小即是美”。这句话一针见血的道出了Linux操作系统的设计特点。Linux操作系统跟微软操作系统不同,它都是一个个相对独立的软件所构成的一个操作系统,一个软件包完成一项单独的功能。为此Linux系统管理员平时大部分工具都在跟Linux系统软件包打交道。系统管理员要根据企业员工的需要,选择并安装恰当的软件包。故软件包直接跟Linux系统的安全与性能相关。为此为了创造一个稳定、安全的Linux操作系统环境,系统管理员最好在安装软件包之间先对软件包进行合法性验证。笔者下面就介绍几种常用的验证方法,来帮助大家识别Linux软件包的合法性。
一、检查软件包有否被篡改。
当系统工程师从网络上下载一个软件包之后,其最关心的就是这个软件包是否被篡改过。如一些非法攻击者会否在一些著名软件包中捆绑一些非法软件等等。为此系统工程师希望有工具能够帮助他来验证软件包是否被人处理过。如果为了达到这个目的,则系统工程师可以通过rpm –k命令来进行验证。验证结果如图所示。为了安全起见,笔者已经把Linux服务器的主机名与账户隐去。
如果这个JDK的软件包没有被人修改过或者没有损坏,则结果就会如上图所示。Shal md5 OK这个简短的信息,就告诉系统工程师这个软件包没有被篡改过的迹象,可以放心使用。但是这个命令有一个缺陷,即只适用于rpm软件包。如果系统工程师所下载的软件包不是RPM格式的,则会提示如下的错误信息。
不过笔者在这里也建议各位Linux系统管理员,最好通过RPM来管理软件。RPM软件包是一种开发的软件包管理系统,它简化了系统的维护工作,只需要短短的几个指令便可以完成安装软件包、删除软件包、系统验证等功能。RPM软件包有很多的特点。如通过使用RPM,系统管理员不用重新安装整个操作系统,就可以升级系统中的个别组件。RPM软件包会使用一种智能且完全自动化的方式来升级组件,而且软件包的设定文件将会在升级的过程中被保留下来。即如果对邮件客户端进行升级后,原先的帐户等设定将会被保留;如对办公软件进行升级,则原先的工具栏等用户偏爱设置也都将保留下来,用户不用在升级后进行重新设置,等等。这些措施可以大大的方便管理员的维护。如RPM可以验证软件包。如系统管理员在维护操作系统的时候,可能会担心不小心删除了某个软件包中的重要文件,则可以对这个软件包进行验证。如果这个软件包从安装到现在,相关的文件有任何改变都将被查询出来。为此系统管理员可以根据需要选择是否需要重新安装该软件包。可见RPM软件包的很多特性,都可以简化Linux系统工程师的工作。为此笔者在这里强烈建议大家通过RPM的方式来管理软件包。像上面验证软件包是否被篡改以及是否损坏也是RPM特有的功能之一。