rkhunter warnt mich vor root.rules

15

Ich renne :

:~$ sudo rkhunter --checkall --report-warnings-only

Eine der Warnungen, die ich habe:

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

und die root.rulesenthält:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Ich möchte die Bedeutung und die Rolle dieser Variablen verstehen SUBSYSTEM, ENV{MAJOR}und SYMLINK+.

4m1nh4j1
quelle

Antworten:

13

Die betreffende Zeile ist eine udevRegel , die bestimmte Bedingungen definiert, mit denen das Gerät identifiziert wird, auf das die Regel einwirkt.

  • SUBSYSTEMist ein Match-Schlüssel, der mit dem Subsystem des Geräts abgeglichen wird. In diesem Fall entspricht die Regel nur Geräten aus dem blockSysb-System.

  • ENVist der Schlüssel, der zum Abgleichen und Zuweisen von Umgebungsvariablen verwendet werden kann. In diesem Fall vergleicht die Regel Geräte mit der MAJORzuvor deklarierten Variablen 8und der MINORzuvor deklarierten Variablen 1.

  • SYMLINKist ein Zuweisungsschlüssel, der eine Liste symbolischer Links enthält, die als alternative Namen für den Geräteknoten dienen. Aktionen des Formulars KEY+="value"werden zu den ausgeführten Aktionen hinzugefügt. In diesem Fall SYMLINK+="root"wird beispielsweise angegeben udev, dass zusätzlich zu den anderen zu erstellenden Symlinks ein Symlink rootunter dem /devVerzeichnis erstellt werden soll.

Mit anderen Worten, sagt die obige Regel udevzu erstellen und zusätzliche Symlink /dev/rootfür Geräte mit dem den zugehörigen blockSubsystem mit Hauptgerätenummer 8 und Minor - Gerätenummer 1 , dh die Root - Partition.

Die betreffende Datei wird vom mountallDateisystem-Mount-Tool erstellt und sollte kein Problem darstellen , es sei denn, sie ist weltweit beschreibbar . rkhunterkennzeichnet die Datei aufgrund ihres Typs. Um die rkhunterWarnung zu unterdrücken , können Sie eine Whitelist-Regel hinzufügen zu /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Thomas Nyman
quelle
3

Die udev-Regel erstellt eine symbolische Verknüpfung zum Blockdevice ( SUBSUSTEM=="block") mit den Informationen 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"Die erste Partition auf dem ersten Laufwerk) in Ihrem Setup. Der Link heißt / dev / root mit dem SYMLINK+="root", das Pluszeichen gibt an, dass udev keine zuvor auf diesem Gerät erstellten Links überschreiben, sondern einen weiteren Link hinzufügen soll.

Eine andere Regel wie diese, die auf vielen Linux-Systemen in irgendeiner Form zu finden ist, lautet wie folgt:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Dies besagt, dass das Blockgerät mit der Seriennummer DVD_Drive_USB2_10000E0008441C1E mit / dev / cdrom verbunden werden soll

Ich bin mir nicht ganz sicher, warum sich rkhunter darüber beschwert, aber es liegt an der Art von /dev/.udev/rules.d/root.rules, die kein Gerät oder symbolischer Link ist, sondern eine Datei. Ich halte das nicht für gefährlich.

LassePoulsen
quelle