Я біжу :
:~$ sudo rkhunter --checkall --report-warnings-only
Одне з попереджень:
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
і root.rulesмістить:
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
Я хотів би зрозуміти сенс і роль цих змінних SUBSYSTEM, ENV{MAJOR}і SYMLINK+.
Відповіді:
Розташований рядок - це udevправило , яке визначає певні умови, які використовуються для ідентифікації пристрою, на який діє правило.
SUBSYSTEM- це ключ відповідності, який узгоджується з підсистемою пристрою. У цьому випадку правило відповідає лише пристроям з blockсистемосистеми.
ENVє ключем, який може використовуватися як для узгодження, так і для призначення змінних середовища. У цьому випадку правило відповідає пристроям зі MAJORзмінною, раніше оголошеною 8, і MINORзмінною, раніше оголошеною 1.
SYMLINK- це ключ призначення, який містить перелік символічних посилань, які виконують роль альтернативних імен для вузла пристрою. Дії форми KEY+="value"додають до дій, які виконуються, наприклад, у цьому випадку SYMLINK+="root"вказується udevстворити симпосилання, що називається rootпід /devкаталогом, на додаток до будь-яких інших посилань, які будуть створені.
Іншими словами, вищевказане правило говорить udevпро створення та додаткове символьне посилання /dev/rootдля пристроїв, що належать до blockпідсистеми, з основним номером пристрою 8 та незначним номером пристрою 1 , тобто кореневим розділом.
Файл, про який йде мова, створюється mountallінструментом монтажу файлової системи, і, якщо це не для запису у світі , це не повинно бути проблемою. rkhunterпозначає файл файлом через його тип. Щоб придушити rkhunterпопередження, ви можете додати правило білого списку до /etc/rkhunter.conf.local:
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Правило udev створює символічне посилання на blockdevice ( SUBSUSTEM=="block") з інформацією 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"Перший розділ на першому диску) у вашій установці. Посилання має ім’я / dev / root зі SYMLINK+="root"знаком плюс, указує, що udev не повинен перезаписувати жодні попередні посилання, створені на цьому пристрої, а скоріше додати ще одне посилання на нього.
Інше правило, подібне цьому, яке зустрічається в певній формі на багатьох системах Linux, це таке:
SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"
Це говорить про те, що блок пристрою з порядковим номером DVD_Drive_USB2_10000E0008441C1E може бути пов'язаний з / dev / cdrom
Я не зовсім впевнений, чому rkhunter скаржиться на це, але це належно тому, що тип /dev/.udev/rules.d/root.rules не є пристроєм чи символічним посиланням, а є файлом. Я не думаю, що це небезпечно.