走る :
:~$ sudo rkhunter --checkall --report-warnings-only
私が持っている警告の1つ:
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
とがroot.rules含まれています:
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
私は、これらの変数の意味と役割を理解したいSUBSYSTEM、ENV{MAJOR}とSYMLINK+。
回答:
当該ラインは、udevルール、ルールが上に作用しているデバイスを識別するために使用される特定の条件を定義し、。
SUBSYSTEMデバイスのサブシステムと照合される一致キーです。この場合、ルールはblocksysbsystemのデバイスのみに一致します。
ENV環境変数のマッチングと割り当ての両方に使用できるキーです。この場合は、とのルールの試合デバイスMAJOR変数は、以前に宣言さ8れ、MINOR変数は、以前に宣言しました1。
SYMLINKデバイスノードの代替名として機能するシンボリックリンクのリストを含む割り当てキーです。フォームのアクションは、KEY+="value"実行されるアクションに追加します。たとえば、この場合、作成される他のシンボリックリンクに加えて、ディレクトリの下に呼び出されるシンボリックリンクを作成するようにSYMLINK+="root"指示udevします。root/dev
言い換えると、上記のルールは、メジャーデバイス番号とマイナーデバイス番号、つまりルートパーティションを持つサブシステムに属するデバイスのudevシンボリックリンクを作成して追加するよう指示しています。/dev/rootblock 8 1
問題のファイルは、mountallファイルシステムマウントツールによって作成されますが、誰でも書き込み可能な場合を除き、問題になりません。rkhunterそのタイプのためにファイルにフラグを立てます。rkhunter警告を抑制するには、ホワイトリストルールをに追加できます/etc/rkhunter.conf.local。
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
udevルールは、セットアップSUBSUSTEM=="block"の情報8,1(ENV{MAJOR}=="8", ENV{MINOR}=="1"最初のドライブの最初のパーティション)でブロックデバイス()へのシンボリックリンクを作成します。リンクの名前は/ dev / rootで、SYMLINK+="root"プラス記号は、udevがこのデバイスに作成された以前のリンクを上書きせず、リンクをもう1つ追加することを示します。
多くのLinuxシステムで何らかの形で見られるこのような他のルールは次のとおりです。
SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"
これは、シリアル番号DVD_Drive_USB2_10000E0008441C1Eのブロックデバイスを/ dev / cdromにシンボリックリンクする必要があることを示しています
rkhunterがこれについて文句を言う理由は完全にはわかりませんが、これは/dev/.udev/rules.d/root.rulesのタイプがデバイスまたはシンボリックリンクではなく、ファイルであるためです。これは危険だとは思いません。