## 21.6 檢驗軟件正確性 前面提到很多升級與安裝需要注意的事項，因為我們需要克服很多的程序漏洞，所以需要前往 Linux distribution 或者是某些軟件開發商的網站，下載最新并且較安全的軟件文件來安裝才行。 好了，那么“有沒有可能我們下載的文件本身就有問題？” 是可能的！因為 cracker 無所不在，很多的軟件開發商已經公布過他們的網頁所放置的文件曾經被竄改過！ 那怎么辦？連下載原版的數據都可能有問題了？難道沒有辦法判斷文件的正確性嗎？ 這個時候我們就要通過每個文件獨特的指紋驗證數據了！因為每個文件的內容與文件大小都不相同， 所以如果一個文件被修改之后，必然會有部分的信息不一樣！利用這個特性，我們可以使用 MD5/sha1 或更嚴密的 sha256 等指紋驗證機制來判斷該文件有沒有被更動過！舉個例子來說，在每個 CentOS 7.x 原版光盤的下載點都會有提供幾個特別的文件， 你可以先到下面的鏈接看看： * [http://ftp.ksu.edu.tw/FTP/CentOS/7/isos/x86_64/](http://ftp.ksu.edu.tw/FTP/CentOS/7/isos/x86_64/) 仔細看喔，上述的 URL 里面除了有所有光盤的下載點之外，還有提供剛剛說到的 md5, sha1, sha256 等指紋驗證機制喔！通過這個編碼的比對， 我們就可以曉得下載的文件是否有問題。那么萬一 CentOS 提供的光盤鏡像文件被下載之后，讓有心人士偷偷修改過，再轉到 Internet 上面流傳，那么你下載的這個文件偏偏不是原廠提供的，呵呵！ 你能保證該文件的內容完全沒有問題嗎？當然不能對不對！是的，這個時候就有 md5sum, sha1sum, sha256sum 這幾文件指紋的咚咚出現啦！說說他的用法吧！ ### 21.6.1 md5sum / sha1sum / sha256sum 目前有多種機制可以計算文件的指紋碼，我們選擇使用較為廣泛的 MD5, SHA1 或 SHA256 加密機制來處理， 例如上面鏈接中 CentOS 7.x 的相關指紋確認。不過 ISO文件實在太大了，下載來確認實在很浪費帶寬。 所以我們拿前一個小節談到的 NTP 軟件來檢查看看好了。記得我們下載的 NTP 軟件版本為 4.2.8p3 這一版， 在官網上面僅有提供 md5sum 的數據而已，在下載頁面的 MD5 數據為： ``` b98b0cbb72f6df04608e1dd5f313808b ntp-4.2.8p3.tar.gz ``` 如何確認我們下載的文件是正確沒問題的呢？這樣處理一下： ``` [root@study ~]# md5sum/sha1sum/sha256sum [-bct] filename [root@study ~]# md5sum/sha1sum/sha256sum [--status|--warn] --check filename 選項與參數： -b ：使用 binary 的讀檔方式，默認為 Windows/DOS 文件型態的讀取方式； -c ：檢驗文件指紋； -t ：以文字體態來讀取文件指紋。 范例一：將剛剛的文件下載后，測試看看指紋碼 [root@study ~]# md5sum ntp-4.2.8p3.tar.gz b98b0cbb72f6df04608e1dd5f313808b ntp-4.2.8p3.tar.gz # 看！顯示的編碼是否與上面相同呢？趕緊測試看看！ ``` 一般而言，每個系統里面的文件內容大概都不相同，例如你的系統中的 /etc/passwd 這個登陸信息檔與我的一定不一樣，因為我們的使用者與密碼、 Shell 及主文件夾等大概都不相同，所以由 md5sum 這個文件指紋分析程序所自行計算出來的指紋表當然就不相同啰！ 好了，那么如何應用這個東西呢？基本上，你必須要在你的 Linux 系統上為你的這些重要的文件進行指紋數據庫的創建 （好像在做戶口調查！），將下面這些文件創建數據庫： * /etc/passwd * /etc/shadow （假如你不讓使用者改密碼了） * /etc/group * /usr/bin/passwd * /sbin/rpcbind * /bin/login （這個也很容易被駭！） * /bin/ls * /bin/ps * /bin/top 這幾個文件最容易被修改了！因為很多木馬程序執行的時候，還是會有所謂的“執行序, PID”為了怕被 root 追查出來，所以他們都會修改這些檢查調度的文件，如果你可以替這些文件創建指紋數據庫 （就是使用 md5sum 檢查一次，將該文件指紋記錄下來，然后常常以 [shell script](../Text/index.html) 的方式由程序自行來檢查指紋表是否不同了！），那么對于文件系統會比較安全啦！