Desconecte as citações:
ALLOWDEVFILE = /dev/.udev/db/*
Estou recebendo um conjunto de avisos via rkhunter que não consigo suprimir o uso de ALLOWDEVFILE. Aqui está uma parte do que é sinalizado:
Checking /dev for suspicious file types [ Warning ]
Warning: Suspicious file types found in /dev:
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty8: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty7: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty6: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty5: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty4: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty3: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty2: ASCII text
Eu tentei todas as técnicas a seguir (com e sem aspas):
ALLOWDEVFILE = "/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty8"
ALLOWDEVFILE = "/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty8"
Os curingas parecem não funcionar:
ALLOWDEVFILE = "/dev/.udev/db/\x2fdevices\x2fvirtual\*"
Parece haver algum problema com as barras invertidas nos nomes dos arquivos, pois mesmo o preenchimento automático normal dos nomes dos arquivos não funcionará na linha de comando. Alguma idéia de como fazer com que o rkhunter pare de lançar avisos e constantemente enviando um e-mail para esse conjunto de arquivos?
Desconecte as citações:
ALLOWDEVFILE = /dev/.udev/db/*
Para suprimir o aviso rkhunter, você pode adicionar uma regra whitelist ao /etc/rkhunter.conf.local:
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Tags rkhunter