rkhunter ostrzega mnie przed root.rules

15

Biegnę :

:~$ sudo rkhunter --checkall --report-warnings-only

Jedno z ostrzeżeń, które mam:

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

i root.ruleszawiera:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Chciałbym zrozumieć znaczenie i rolę tych zmiennych SUBSYSTEM, ENV{MAJOR}a SYMLINK+.

4m1nh4j1
źródło

Odpowiedzi:

13

Linia, o której mowa, jest udevregułą , która określa pewne warunki stosowane do identyfikacji urządzenia, na które działa reguła.

  • SUBSYSTEMto klucz dopasowania, który jest dopasowany do podsystemu urządzenia. W takim przypadku reguła pasuje tylko do urządzeń z systemu blocksysbsystem.

  • ENVjest kluczem, którego można używać zarówno do dopasowywania, jak i przypisywania zmiennych środowiskowych. W takim przypadku reguła pasuje do urządzeń ze MAJORzmienną uprzednio zadeklarowaną 8i MINORzmienną uprzednio zadeklarowaną na 1.

  • SYMLINKto klucz przypisania, który zawiera listę dowiązań symbolicznych, które działają jako alternatywne nazwy dla węzła urządzenia. Działania formularza KEY+="value"dodają do wykonywanych działań, na przykład w tym przypadku SYMLINK+="root"nakazują udevutworzenie dowiązania symbolicznego wywoływanego rootpod /devkatalogiem, oprócz wszystkich innych dowiązań symbolicznych, które zostaną utworzone.

Innymi słowy, powyższa reguła nakazuje udevutworzenie i dodatkowe dowiązanie symboliczne /dev/rootdla urządzeń należących do blockpodsystemu z głównym numerem urządzenia 8 i mniejszym numerem urządzenia 1 , tj. Partycją główną.

Plik, o którym mowa, jest tworzony przez mountallnarzędzie do montażu systemu plików i chyba, że ​​można go zapisywać na całym świecie , nie powinien stanowić problemu. rkhunterzaznacza plik ze względu na jego typ. Aby ukryć rkhunterostrzeżenie, możesz dodać regułę białej listy do /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Thomas Nyman
źródło
3

Reguła udev tworzy dowiązanie symboliczne do blockdevice ( SUBSUSTEM=="block") z informacją 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"pierwsza partycja na pierwszym dysku) w twojej instalacji. Łącze nosi nazwę / dev / root SYMLINK+="root", a znak plus informuje, że udev nie powinien zastępować żadnych wcześniejszych łączy utworzonych na tym urządzeniu, a raczej dodać do niego jeszcze jeden link.

Inną zasadą, taką jak ta znaleziona w jakiejś formie na wielu systemach Linux, jest ta:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Oznacza to, że urządzenie blokowe o numerze seryjnym DVD_Drive_USB2_10000E0008441C1E powinno być dowiązaniem symbolicznym do / dev / cdrom

Nie jestem do końca pewien, dlaczego rkhunter narzeka na to, ale jest to słusznie spowodowane tym, że typ /dev/.udev/rules.d/root.rules nie jest urządzeniem ani dowiązaniem symbolicznym, ale raczej plikiem. Nie sądzę, że to niebezpieczne.

LassePoulsen
źródło