rkhunterがroot.rulesについて私に警告しました

rkhunterがroot.rulesについて私に警告しました

私は走る:

:~$ sudo rkhunter --checkall --report-warnings-only

私が受け取った警告の1つは次のとおりです。

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

以下root.rulesを含みます。

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

私はこれらの変数が何を意味し、SUBSYSTEM何をしているのか理解したいと思います。 ENV{MAJOR}SYMLINK+

答え1

問題の行はudevルール、ルールが機能しているデバイスを識別するための特定の条件を定義します。

  • SUBSYSTEMデバイスのサブシステムに一致する一致キー。この場合、ルールはsysbsystemのデバイスにのみ一致しますblock

  • ENV環境変数を照合して割り当てるために使用できるキー。この場合、ルールはデバイスをMAJOR以前に宣言された変数8MINOR以前に宣言された変数と一致させます1

  • SYMLINKデバイスノードの代替名として機能するシンボリックリンクのリストを含む割り当てキー。フォームのアクションはKEY+="value"実行されたアクションに追加されます。たとえば、この場合、ディレクトリの下に呼び出されるシンボリックリンクを作成するようにSYMLINK+="root"求められます。udevroot/devまた生成される他のすべてのシンボリックリンクにリンクされます。

つまり、上記のルールは、サブシステムに属するデバイスに対して追加のudevシンボリックリンクを作成するように指示します。/dev/rootblockキーデバイス番号 8そして補助装置番号 1つまり、ルートパーティションです。

問題のファイルは、mountallファイルシステムインストールツールによって生成され、世界的に書くことができないなら、問題ではありません。rkhunterファイルの種類に応じてファイルにタグを付けます。警告を表示したくない場合は、rkhunterホワイトリストルールを追加するだけです/etc/rkhunter.conf.local

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules

答え2

udevルールは、SUBSUSTEM=="block"情報8,1(ENV{MAJOR}=="8", ENV{MINOR}=="1"最初のドライブの最初のパーティション)を使用して、設定のブロックデバイス()へのシンボリックリンクを生成します。リンク名は/ dev / rootであり、SYMLINK+="root"udevには、このデバイス用に以前に作成されたリンクを上書きせずに、代わりにリンクを追加するためのプラス記号があります。

多くのLinuxシステムで何らかの形で発見されるもう1つの同様の規則は次のとおりです。

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

これは、シリアル番号がDVD_Drive_USB2_10000E0008441C1Eのブロックデバイスを/ dev / cdromにシンボリックリンクする必要があることを意味します。

rkhunterがなぜそれについて不平を言うのかはわかりませんが、これは/dev/.udev/rules.d/root.rulesがデバイスまたはシンボリックリンクタイプではなくファイルタイプであるという事実によるものです。私はそれが危険だとは思わない。

関連情報