O rkhunter me avisa sobre root.rules

15

Eu corro :

:~$ sudo rkhunter --checkall --report-warnings-only

Um dos avisos que recebi:

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

e o root.rulescontém:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Eu gostaria de entender o significado e o papel dessas variáveis SUBSYSTEM, ENV{MAJOR}e SYMLINK+.

4m1nh4j1
fonte

Respostas:

13

A linha em questão é uma udevregra , que define certas condições usadas para identificar o dispositivo no qual a regra está agindo.

  • SUBSYSTEMé uma chave de correspondência, que é comparada com o subsistema do dispositivo. Nesse caso, a regra corresponde apenas aos dispositivos do sistema de blocksistema.

  • ENVé a chave que pode ser usada para combinar e atribuir variáveis ​​de ambiente. Nesse caso, a regra corresponde a dispositivos com a MAJORvariável anteriormente declarada como 8e a MINORvariável anteriormente declarada como 1.

  • SYMLINKé uma chave de atribuição, que contém uma lista de links simbólicos que atuam como nomes alternativos para o nó do dispositivo. Ações de forma KEY+="value"add para as ações que são executadas, por exemplo, neste caso, SYMLINK+="root"diz udevpara criar um link simbólico chamado rootsob o /devdiretório, além de quaisquer outros links simbólicos que vão ser criado.

Em outras palavras, a regra acima informa udevpara criar um link simbólico adicional /dev/rootpara dispositivos pertencentes ao blocksubsistema com número de dispositivo principal 8 e número de dispositivo secundário 1 , ou seja, a partição raiz.

O arquivo em questão é criado pela mountallferramenta de montagem do sistema de arquivos e, a menos que seja gravável mundialmente , não deve ser um problema. rkhuntersinaliza o arquivo devido ao seu tipo. Para suprimir o rkhunteraviso, você pode adicionar uma regra da lista de permissões a /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Thomas Nyman
fonte
3

A regra udev cria um link simbólico para o dispositivo de bloco ( SUBSUSTEM=="block") com as informações 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"A primeira partição na primeira unidade) em sua configuração. O link é nomeado / dev / root com o SYMLINK+="root", o sinal de mais informa que o udev não deve sobrescrever nenhum link anterior criado para este dispositivo, mas sim adicionar mais um link a ele.

Uma outra regra como essa, encontrada de alguma forma em muitos sistemas Linux, é esta:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Isso indica que o dispositivo de bloco com o número de série DVD_Drive_USB2_10000E0008441C1E deve ser vinculado a / dev / cdrom

Não sei ao certo por que o rkhunter reclama disso, mas isso ocorre devido ao tipo de /dev/.udev/rules.d/root.rules não ser um dispositivo ou link simbólico, mas um arquivo. Eu não acho que isso seja perigoso.

LassePoulsen
fonte