jens.ebinger Geschrieben 9. Juni 2007 Geschrieben 9. Juni 2007 Hallo. Kann mir bitte jemand den Unterschied zwischen RPM, dem Debian-Paketmanagement und portage erklären. Was ein RPM ist weiss ich ungefähr, das verstehe ich unter klassischen Software-paket bzw. "Produkt", wie es bei manchen UNIXen heisst. siehe RPM - Wikipedia Aber dpkg scheint irgendwie vergleichbar zu sein, siehe .deb - Wikipedia Was soll das bei gentoo mit dem "emerge", bitte? Das verstehe ich nicht, Gentoo Linux - Wikipedia habe ich gelesen. Ich habe dann auf jeder Maschine eine riesige Menge an "Rohdaten", und ein Stück Software (z.B. Mailserver), der auf der einen Maschine gut läuft kann auf einer anderen Maschine sich komisch verhalten? Ist das gewollt? Danke & Ciao. Zitieren
lordy Geschrieben 9. Juni 2007 Geschrieben 9. Juni 2007 Debian-Pakete und RPM sind sich recht ähnlich, da sie die gleiche Aufgabe erledigen: Die Installation und Verwaltung von Binaries und den zugehörigen Konfigurationsdateien. Bei Ebuilds aus Gentoo ist das anders. Diese enthalten genau wie DEBs/RPMs Informationen zu den Abhängigkeiten jedoch anstelle der fertigen Binaries nur Parameter zum kompilieren dieser aus den Quellen. Das hat den Vorteil, das die Software jeweils Prozessor/Plattform-optimiert kompiliert wird, hat aber natürlich den Nachteil, das die Installation entsprechend länger dauert und man auch keine Prüfsummen hat um im Zweifelsfall ersetzte Binaries zu identifizieren (Stichwort: Rootkit). Zitieren
carstenj Geschrieben 9. Juni 2007 Geschrieben 9. Juni 2007 Hi, und man auch keine Prüfsummen hat um im Zweifelsfall ersetzte Binaries zu identifizieren Man hat sehr wohl Prüfsummen. Diese überprüfen natürlich nicht die Binaries, die es ja nicht gibt, sondern den Quellcode, was im Endeffekt aus das gleiche hinausläuft. Zitieren
lordy Geschrieben 9. Juni 2007 Geschrieben 9. Juni 2007 Das bringt einem aber nichts, wenn ein kompiliertes 'ps' durch ein Neues ersetzt wurde, das meinte ich. Zitieren
jens.ebinger Geschrieben 10. Juni 2007 Autor Geschrieben 10. Juni 2007 Das bringt einem aber nichts, wenn ein kompiliertes 'ps' durch ein Neues ersetzt wurde ACK. Gibts eigentlich ein reales Rootkit, dass (z.B.) das "ps"-binary (auf der festplatte) befällt, aber gleichzeitig das md5sum-binary, sodass md5sum gar kein unterschied auffällt (md5sum müsste ja im einfachsten Fall, falls der befall hinten in der Datei ist, einfach früher mit der Berechnung aufhören) <--- Wieder mal eine meiner theoretischen Fragen Zitieren
lordy Geschrieben 10. Juni 2007 Geschrieben 10. Juni 2007 Eigentlich ist es ziemlich aus der Mode gekommen, System-Binaries zu ersetzen, um ein Rootkit zu verstecken. Aktuelle Rootkits werden als Modul direkt in den Kernel geladen und verstecken dort direkt Prozesse und Dateien, ohne das man 'ps', 'ls', 'top', etc ersetzen muß. Deine Theorie zu md5sum funktioniert so nicht, da bei den "alten" Rootkits einfach das gesamte Binary ersetzt wird und es sich nicht wie z.B. ein Virus an ein bestehendes Binary anhängt. Selbst wenn man also die gleiche Byte-Zahl von den beiden Binaries einlesen würde wären die Prüfsummen unterschiedlich. Zitieren
jens.ebinger Geschrieben 10. Juni 2007 Autor Geschrieben 10. Juni 2007 thanks @ lordy für die ausführliche antwort Zitieren
Marco S. Geschrieben 11. Juni 2007 Geschrieben 11. Juni 2007 Das bringt einem aber nichts, wenn ein kompiliertes 'ps' durch ein Neues ersetzt wurde, das meinte ich.Hat aber auch so seine Probleme: Das rootkit muss mit nem passenden Compiler übersetzt worden sein. Oder enstprechende Libs müssen sloted auf dem Gentoo Sys liegen. Stichwort ABI. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.