Tengo un Debian instalado. Cuando hay actualizaciones de seguridad, las reviso e instalo lo antes posible y pienso en utilizar actualizaciones automáticas.
De vez en cuando quiero arrancar desde un CD de inicio limpio y comprobar si el sistema se ha comprometido.
Por ese motivo, quiero comprobar si se han modificado algunos paquetes / binarios, verificar el cargador de arranque, verificar si hay rootkits.
Supongamos que arranqué desde un CD de arranque limpio y monté el sistema de archivos hdd.
¿Cómo puedo obtener una lista de todas las sumas hash sha256 de todos los archivos binarios y de configuración instalados y compararlos con las versiones del repositorio de Debian?
He investigado los sistemas de detección de intrusos (debsums), Afick, AIDE, FCheck, Integrit, Osiris, OSSEC, Samhain, Tripwire, pero todos tienen en común, que quieren crear una base de datos que se sepa que está bien antes de la auditoría. Esto no se escala muy bien, porque las actualizaciones son bastante frecuentes, lo que hace que esa base de datos sea menos útil. La recreación de la base de datos de buena reputación después de la actualización tampoco es muy segura; digamos que apt-get tuvo un error e instaló un paquete malicioso, luego la suma de comprobación de ese paquete malicioso terminaría en la base de datos de buena reputación.
Creo que la verdadera solución está comparando con el repositorio de paquetes de la distribución. ¿Cómo puedo hacer eso?