私は走る:
:~$ sudo rkhunter --checkall --report-warnings-only
私が受け取った警告の1つは次のとおりです。
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
以下root.rules
を含みます。
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
私はこれらの変数が何を意味し、SUBSYSTEM
何をしているのか理解したいと思います。 ENV{MAJOR}
SYMLINK+
答え1
問題の行はudev
ルール、ルールが機能しているデバイスを識別するための特定の条件を定義します。
SUBSYSTEM
デバイスのサブシステムに一致する一致キー。この場合、ルールはsysbsystemのデバイスにのみ一致しますblock
。ENV
環境変数を照合して割り当てるために使用できるキー。この場合、ルールはデバイスをMAJOR
以前に宣言された変数8
とMINOR
以前に宣言された変数と一致させます1
。SYMLINK
デバイスノードの代替名として機能するシンボリックリンクのリストを含む割り当てキー。フォームのアクションはKEY+="value"
実行されたアクションに追加されます。たとえば、この場合、ディレクトリの下に呼び出されるシンボリックリンクを作成するようにSYMLINK+="root"
求められます。udev
root
/dev
また生成される他のすべてのシンボリックリンクにリンクされます。
つまり、上記のルールは、サブシステムに属するデバイスに対して追加のudev
シンボリックリンクを作成するように指示します。/dev/root
block
キーデバイス番号 8
そして補助装置番号 1
つまり、ルートパーティションです。
問題のファイルは、mountall
ファイルシステムインストールツールによって生成され、世界的に書くことができないなら、問題ではありません。rkhunter
ファイルの種類に応じてファイルにタグを付けます。警告を表示したくない場合は、rkhunter
ホワイトリストルールを追加するだけです/etc/rkhunter.conf.local
。
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
答え2
udevルールは、SUBSUSTEM=="block"
情報8,1(ENV{MAJOR}=="8", ENV{MINOR}=="1"
最初のドライブの最初のパーティション)を使用して、設定のブロックデバイス()へのシンボリックリンクを生成します。リンク名は/ dev / rootであり、SYMLINK+="root"
udevには、このデバイス用に以前に作成されたリンクを上書きせずに、代わりにリンクを追加するためのプラス記号があります。
多くのLinuxシステムで何らかの形で発見されるもう1つの同様の規則は次のとおりです。
SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"
これは、シリアル番号がDVD_Drive_USB2_10000E0008441C1Eのブロックデバイスを/ dev / cdromにシンボリックリンクする必要があることを意味します。
rkhunterがなぜそれについて不平を言うのかはわかりませんが、これは/dev/.udev/rules.d/root.rulesがデバイスまたはシンボリックリンクタイプではなくファイルタイプであるという事実によるものです。私はそれが危険だとは思わない。