Koşarım :
:~$ sudo rkhunter --checkall --report-warnings-only
Elimdeki uyarılardan biri:
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
ve root.rulesşunları içerir:
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
Ben bu değişkenlerin anlamını ve rolünü anlamak istiyorum SUBSYSTEM, ENV{MAJOR}ve SYMLINK+.
Yanıtlar:
Söz konusu çizgi , kuralın etki ettiği cihazı tanımlamak için kullanılan belirli koşulları tanımlayan bir udevkuraldır .
SUBSYSTEM, cihazın alt sistemiyle eşleşen bir eşleme anahtarıdır. Bu durumda, kural yalnızca sistem sistemindeki aygıtlarla blockeşleşir.
ENVortam değişkenlerini hem eşleştirmek hem de atamak için kullanılabilecek bir anahtardır. Bu durumda, kural sahip cihazlar ile eşleşen MAJORdeğişken daha önce beyan 8ve MINORdeğişken daha önce beyan 1.
SYMLINKaygıt düğümü için alternatif adlar olarak işlev gören sembolik bağlantıların bir listesini içeren bir atama anahtarıdır. Formun KEY+="value"eylemleri, yürütülecek eylemlere eklenir, örneğin bu durumda SYMLINK+="root", udevoluşturulacak diğer sembollere ek olarak root, /devdizin altında çağrılan bir sembolik bağlantı oluşturmayı söyler .
Başka bir deyişle, yukarıdaki kural , alt sisteme ait cihazlar için ana cihaz numarası ve küçük cihaz numarası , yani kök bölümü olan udevek sembolik oluşturmayı ve eklemeyi söyler ./dev/rootblock 8 1
Söz konusu dosya, mountalldosya sistemi montaj aracı tarafından oluşturulur ve dünya tarafından yazılabilir olmadığı sürece bir sorun olmamalıdır. rkhunterdosyayı türü nedeniyle işaretler. rkhunterUyarıyı gizlemek için , aşağıdakilere beyaz liste kuralı ekleyebilirsiniz /etc/rkhunter.conf.local:
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Udev kuralı, blockdevice ( SUBSUSTEM=="block") öğesine kurulumunuzdaki 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"İlk sürücüdeki ilk bölüm ) bilgisiyle sembolik bir bağlantı oluşturur . Bağlantı, / dev / root olarak adlandırılır SYMLINK+="root", artı işareti, udev'in bu cihaza oluşturulan önceki bağlantıların üzerine yazmaması, aksine bir bağlantı daha eklemesi gerektiğini belirtir.
Birçok Linux sisteminde bir şekilde bulunan bunun gibi başka bir kural şudur:
SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"
Bu seri numarası DVD_Drive_USB2_10000E0008441C1E olan blok aygıtının / dev / cdrom'a bağlanması gerektiğini söylüyor
Neden rkhunter'ın bu konuda şikayet ettiğinden tam olarak emin değilim, ancak /dev/.udev/rules.d/root.rules türünün bir cihaz veya sembolik bağlantı değil, daha ziyade bir dosya olmasından kaynaklanıyor. Bunun tehlikeli olduğunu düşünmüyorum.