Gehen Sie folgendermaßen vor, um bösartige RPM-Installationen zu überprüfen und zu protokollieren:
Schritt 1:Aktivieren Sie die rpmlib-Protokollierung :
Führen Sie den folgenden Befehl als „root“-Benutzer aus:
„
setztebool -P rpmlib_debug ein
„
Dies ermöglicht eine umfassende Protokollierung für RPM-Installationen.
Schritt 2:Überprüfen Sie die RPM-Protokolle :
Führen Sie Folgendes aus, um RPM-Protokolle anzuzeigen:
„
grep -i Warnung /var/log/messages
„
Suchen Sie nach ungewöhnlichen oder verdächtigen Warnungen im Zusammenhang mit RPM-Installationen.
Schritt 3:Zusätzliche Informationen protokollieren :
Um zusätzliche Details zu erhalten, aktivieren Sie den RPM-Debug-Modus, indem Sie die Umgebungsvariable festlegen:
„
exportieren Sie RPM_DEBUG_ADDONS=alle
„
Führen Sie dann den RPM-Installationsbefehl mit der Option „--nosignature“ aus:
„
rpm --nosignature -ivh [Paketname.rpm]
„
Dadurch werden detaillierte Protokolle in „/var/log/rpm“ generiert. Suchen Sie nach Anomalien wie unerwarteten Abhängigkeiten, Änderungen an Systemdateien oder ungewöhnlichen Zeitstempeln.
Denken Sie daran, den RPM-Debug-Modus zu deaktivieren, indem Sie die Umgebungsvariable deaktivieren und die Einstellung „rpmlib_debug“ auf den Standardwert zurücksetzen.
