rkhunter me avisa sobre root.rules

Navegue suas respostas
15

Eu corro: 

:~$ sudo rkhunter --checkall --report-warnings-only

Um dos avisos que recebi: 

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

e o root.rules contém: 

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Eu gostaria de entender o significado e o papel dessas variáveis SUBSYSTEM , ENV{MAJOR} e SYMLINK+ .

    
por 4m1nh4j1 13.11.2013 / 13:37

2 respostas

13

A linha em questão é uma regra udev , que define certas condições usadas para identificar o dispositivo que a regra está agindo em cima.

  • SUBSYSTEM é uma chave de correspondência, que corresponde ao subsistema do dispositivo. Nesse caso, a regra corresponde apenas a dispositivos do sistema block sysbs.

  • ENV é a chave que pode ser usada para correspondência e atribuição de variáveis de ambiente. Nesse caso, a regra corresponde dispositivos com a variável MAJOR anteriormente declarada como 8 e a variável MINOR anteriormente declarada como 1 .

  • SYMLINK é uma chave de atribuição, que contém uma lista de links simbólicos que funcionam como nomes alternativos para o nó do dispositivo. Ações do formulário KEY+="value" adicionam as ações que são executadas, por exemplo, neste caso SYMLINK+="root" diz udev para criar um link simbólico chamado root no diretório /dev , além para quaisquer outros links simbólicos que serão criados.

Em outras palavras, a regra acima diz udev para criar e o adicional symlink /dev/root para dispositivos pertencentes ao block subsystem com número do dispositivo principal 8 e menor número de dispositivo 1 , isto é, a partição raiz.

O arquivo em questão é criado pela ferramenta de montagem do sistema de arquivos mountall e a menos que seja mundo writable , não deve ser um problema. rkhunter sinaliza o arquivo por causa de seu tipo. Para suprimir o aviso rkhunter , você pode adicionar uma regra de lista de permissões a /etc/rkhunter.conf.local : 

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
    
por 13.11.2013 / 14:03
3

A regra do udev cria um link simbólico para o dispositivo block ( SUBSUSTEM=="block" ) com as informações 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1" A primeira partição na primeira unidade) em sua configuração. O link é denominado / dev / root com o SYMLINK+="root" , o sinal de mais informa que o udev não deve sobrescrever nenhum link anterior criado para este dispositivo, mas sim adicionar mais um link a ele.

Uma outra regra como essa encontrada de alguma forma em muitos sistemas Linux é essa: 

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Isso diz que o dispositivo de bloco com o número de série DVD_Drive_USB2_10000E0008441C1E deve ser vinculado a / dev / cdrom

Não tenho certeza do motivo pelo qual o rkhunter se queixa disso, mas é devido ao tipo de /dev/.udev/rules.d/root.rules não ser um dispositivo ou link simbólico, mas sim um arquivo. Eu não acho que isso seja perigoso.

    
por 13.11.2013 / 14:03

Tags

Compare os diretórios, mas não o conteúdo dos arquivos Linhas para conversão de coluna de arquivo