A linha em questão é uma regra udev , que define certas condições usadas para identificar o dispositivo que a regra está agindo em cima.
-
SUBSYSTEMé uma chave de correspondência, que corresponde ao subsistema do dispositivo. Nesse caso, a regra corresponde apenas a dispositivos do sistemablocksysbs. -
ENVé a chave que pode ser usada para correspondência e atribuição de variáveis de ambiente. Nesse caso, a regra corresponde dispositivos com a variávelMAJORanteriormente declarada como8e a variávelMINORanteriormente declarada como1. -
SYMLINKé uma chave de atribuição, que contém uma lista de links simbólicos que funcionam como nomes alternativos para o nó do dispositivo. Ações do formulárioKEY+="value"adicionam as ações que são executadas, por exemplo, neste casoSYMLINK+="root"dizudevpara criar um link simbólico chamadorootno diretório/dev, além para quaisquer outros links simbólicos que serão criados.
Em outras palavras, a regra acima diz udev para criar e o adicional symlink /dev/root para dispositivos pertencentes ao block subsystem com número do dispositivo principal 8 e menor número de dispositivo 1 , isto é, a partição raiz.
O arquivo em questão é criado pela ferramenta de montagem do sistema de arquivos mountall e a menos que seja mundo writable , não deve ser um problema. rkhunter sinaliza o arquivo por causa de seu tipo. Para suprimir o aviso rkhunter , você pode adicionar uma regra de lista de permissões a /etc/rkhunter.conf.local :
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules