jens.ebinger Geschrieben 9. Juni 2007 Geschrieben 9. Juni 2007 Hallo. Kann mir bitte jemand den Unterschied zwischen RPM, dem Debian-Paketmanagement und portage erklären. Was ein RPM ist weiss ich ungefähr, das verstehe ich unter klassischen Software-paket bzw. "Produkt", wie es bei manchen UNIXen heisst. siehe RPM - Wikipedia Aber dpkg scheint irgendwie vergleichbar zu sein, siehe .deb - Wikipedia Was soll das bei gentoo mit dem "emerge", bitte? Das verstehe ich nicht, Gentoo Linux - Wikipedia habe ich gelesen. Ich habe dann auf jeder Maschine eine riesige Menge an "Rohdaten", und ein Stück Software (z.B. Mailserver), der auf der einen Maschine gut läuft kann auf einer anderen Maschine sich komisch verhalten? Ist das gewollt? Danke & Ciao.
lordy Geschrieben 9. Juni 2007 Geschrieben 9. Juni 2007 Debian-Pakete und RPM sind sich recht ähnlich, da sie die gleiche Aufgabe erledigen: Die Installation und Verwaltung von Binaries und den zugehörigen Konfigurationsdateien. Bei Ebuilds aus Gentoo ist das anders. Diese enthalten genau wie DEBs/RPMs Informationen zu den Abhängigkeiten jedoch anstelle der fertigen Binaries nur Parameter zum kompilieren dieser aus den Quellen. Das hat den Vorteil, das die Software jeweils Prozessor/Plattform-optimiert kompiliert wird, hat aber natürlich den Nachteil, das die Installation entsprechend länger dauert und man auch keine Prüfsummen hat um im Zweifelsfall ersetzte Binaries zu identifizieren (Stichwort: Rootkit).
carstenj Geschrieben 9. Juni 2007 Geschrieben 9. Juni 2007 Hi, und man auch keine Prüfsummen hat um im Zweifelsfall ersetzte Binaries zu identifizieren Man hat sehr wohl Prüfsummen. Diese überprüfen natürlich nicht die Binaries, die es ja nicht gibt, sondern den Quellcode, was im Endeffekt aus das gleiche hinausläuft.
lordy Geschrieben 9. Juni 2007 Geschrieben 9. Juni 2007 Das bringt einem aber nichts, wenn ein kompiliertes 'ps' durch ein Neues ersetzt wurde, das meinte ich.
jens.ebinger Geschrieben 10. Juni 2007 Autor Geschrieben 10. Juni 2007 Das bringt einem aber nichts, wenn ein kompiliertes 'ps' durch ein Neues ersetzt wurde ACK. Gibts eigentlich ein reales Rootkit, dass (z.B.) das "ps"-binary (auf der festplatte) befällt, aber gleichzeitig das md5sum-binary, sodass md5sum gar kein unterschied auffällt (md5sum müsste ja im einfachsten Fall, falls der befall hinten in der Datei ist, einfach früher mit der Berechnung aufhören) <--- Wieder mal eine meiner theoretischen Fragen
lordy Geschrieben 10. Juni 2007 Geschrieben 10. Juni 2007 Eigentlich ist es ziemlich aus der Mode gekommen, System-Binaries zu ersetzen, um ein Rootkit zu verstecken. Aktuelle Rootkits werden als Modul direkt in den Kernel geladen und verstecken dort direkt Prozesse und Dateien, ohne das man 'ps', 'ls', 'top', etc ersetzen muß. Deine Theorie zu md5sum funktioniert so nicht, da bei den "alten" Rootkits einfach das gesamte Binary ersetzt wird und es sich nicht wie z.B. ein Virus an ein bestehendes Binary anhängt. Selbst wenn man also die gleiche Byte-Zahl von den beiden Binaries einlesen würde wären die Prüfsummen unterschiedlich.
jens.ebinger Geschrieben 10. Juni 2007 Autor Geschrieben 10. Juni 2007 thanks @ lordy für die ausführliche antwort
Marco S. Geschrieben 11. Juni 2007 Geschrieben 11. Juni 2007 Das bringt einem aber nichts, wenn ein kompiliertes 'ps' durch ein Neues ersetzt wurde, das meinte ich.Hat aber auch so seine Probleme: Das rootkit muss mit nem passenden Compiler übersetzt worden sein. Oder enstprechende Libs müssen sloted auf dem Gentoo Sys liegen. Stichwort ABI.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden