如何检查命令程序的校验值

sdemon915

在Debian系统下，如何检查命令程序的校验值，比如我使用ps命令，我怎么能确定这个命令是原始的，没有被黑客替换过？

eTony

$md5sum /bin/ps
48ec51eecf94df6aa24c9290cb30502e  /bin/ps

同你认为正确的值相比较

sdemon915

不同的发行版是不是ps的md5值都不一样？

eTony

你测试一下不就知道了?

sdemon915

测试过了，斑竹贴的校验码和我机子（hiweed，一种debian的发行版）不一样，我在redhat 企业版中也测试了一下，也不一样。ps都是基本的linux命令，为什么不同的发行版校验码都不一样呢，不知道是不是ps版本的关系，我机子上ps的版本是3.2.6的

seamonkey

rpm是有这个功能的，debian你可以安装tripwire之类的文件变动监视程序。

DoDo

ps 虽然是基本的命令, 可是 md5 和并不是根据文件的功能来计算的, 而是 内容

不同的系统中的此类命令一般不同. 即便是同一台机器上, 也会随着升级或者是一些别的情况改变文件本身, 进而改变 md5 和. 用 LFS 的兄弟们可能每个人的这些命令的 md5 和都不会相同吧, 呵呵

楼主可以在自己认为电脑还没有被入侵的状态下生成一遍所有想要检测的命令的 md5 和, 然后在有疑问的时候进行检查. 如果进行过升级, 包括手工编译了某些常见命令, 那么显然要再次更新 "原始 md5 和"