rkhunter предупреждает меня о root.rules

15

Я бегу :

:~$ sudo rkhunter --checkall --report-warnings-only

Одно из предупреждений, которое я получил:

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

и root.rulesсодержит:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Я хотел бы понять значение и роль этих переменных SUBSYSTEM, ENV{MAJOR}и SYMLINK+.

4m1nh4j1
источник

Ответы:

13

Рассматриваемая строка - это udevправило , которое определяет определенные условия, используемые для идентификации устройства, на которое действует правило.

  • SUBSYSTEMявляется ключом сопоставления, который сопоставляется с подсистемой устройства. В этом случае правило соответствует только устройствам из blockсистемной системы.

  • ENVявляется ключом, который может использоваться как для сопоставления, так и для назначения переменных среды. В этом случае правило совпадает устройства с MAJORпеременным ранее объявленным 8, и MINORпеременным ранее объявленным 1.

  • SYMLINKявляется ключом назначения, который содержит список символических ссылок, которые действуют как альтернативные имена для узла устройства. Действия в форме KEY+="value"добавляют к выполняемым действиям, например, в этом случае SYMLINK+="root"указывается udevсоздать символическую ссылку, вызываемую rootв /devкаталоге, в дополнение к любым другим символическим ссылкам, которые будут созданы.

Другими словами, вышеприведенное правило предписывает udevсоздать и дополнительную символическую ссылку /dev/rootдля устройств, принадлежащих blockподсистеме с большим номером устройства 8 и второстепенным номером устройства 1 , то есть корневым разделом.

Файл, о котором идет речь, создается mountallинструментом монтирования файловой системы, и, если он не доступен для записи , не должен быть проблемой. rkhunterотмечает файл из-за его типа. Чтобы подавить rkhunterпредупреждение, вы можете добавить правило белого списка в /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Томас Найман
источник
3

Правило udev создает символическую ссылку на blockdevice ( SUBSUSTEM=="block") с информацией 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"первый раздел на первом диске) в вашей настройке. Ссылка с именем / dev / root SYMLINK+="root"и знаком плюс означает, что udev не должен перезаписывать любые предыдущие ссылки, созданные на этом устройстве, а должен добавить еще одну ссылку на него.

Другое правило, подобное этому, встречающееся в той или иной форме на многих системах Linux, таково:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Это говорит о том, что блочное устройство с серийным номером DVD_Drive_USB2_10000E0008441C1E может быть связано с / dev / cdrom

Я не совсем уверен, почему rkhunter жалуется на это, но это правильно из-за того, что тип /dev/.udev/rules.d/root.rules не является устройством или символической ссылкой, а скорее файлом. Я не думаю, что это опасно.

LassePoulsen
источник