rkhunter mi avverte di root.rules

15

Io corro : 

:~$ sudo rkhunter --checkall --report-warnings-only

Uno degli avvertimenti che ho: 

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

e root.rulescontiene:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Vorrei capire il significato e il ruolo di queste variabili SUBSYSTEM, ENV{MAJOR}e SYMLINK+.

security  chkrootkit  rkhunter 
4m1nh4j1
fonte

Risposte:

13

La riga in questione è una udevregola , che definisce alcune condizioni utilizzate per identificare il dispositivo su cui la regola agisce.

  • SUBSYSTEMè una chiave di corrispondenza, che viene confrontata con il sottosistema del dispositivo. In questo caso, la regola corrisponde solo ai dispositivi del sistema di blocksistema.

  • ENVè la chiave che può essere utilizzata sia per la corrispondenza che per l'assegnazione delle variabili di ambiente. In questo caso, la regola corrisponde ai dispositivi con la MAJORvariabile precedentemente dichiarata 8e la MINORvariabile precedentemente dichiarata 1.

  • SYMLINKè una chiave di assegnazione, che contiene un elenco di collegamenti simbolici che fungono da nomi alternativi per il nodo del dispositivo. Le azioni del modulo si KEY+="value"aggiungono alle azioni eseguite, ad esempio in questo caso SYMLINK+="root"indica udevdi creare un collegamento simbolico chiamato rootnella /devdirectory, oltre a qualsiasi altro collegamento simbolico che verrà creato.

In altre parole, la regola di cui sopra dice udevdi creare un link simbolico aggiuntivo /dev/rootper i dispositivi appartenenti al blocksottosistema con numero di dispositivo principale 8 e numero di dispositivo minore 1 , ovvero la partizione radice.

Il file in questione viene creato dallo mountallstrumento di montaggio del file system e, a meno che non sia scrivibile in tutto il mondo , non dovrebbe essere un problema. rkhuntercontrassegna il file a causa del suo tipo. Per sopprimere l' rkhunteravviso, è possibile aggiungere una regola della whitelist a /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Thomas Nyman
fonte
3

La regola udev crea un collegamento simbolico a blockdevice ( SUBSUSTEM=="block") con le informazioni 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"La prima partizione sulla prima unità) nella configurazione. Il collegamento è chiamato / dev / root con il SYMLINK+="root"simbolo, il segno più indica che udev non dovrebbe sovrascrivere alcun collegamento precedente creato su questo dispositivo, ma piuttosto aggiungere un altro collegamento ad esso.

Un'altra regola come questa trovata in qualche forma su molti sistemi Linux è questa:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Questo dice che il dispositivo a blocchi con il numero seriale DVD_Drive_USB2_10000E0008441C1E dovrebbe essere collegato a / dev / cdrom

Non sono del tutto sicuro del motivo per cui rkhunter si lamenta di ciò, ma è correttamente dovuto al fatto che il tipo di /dev/.udev/rules.d/root.rules non è un dispositivo o un collegamento simbolico, ma piuttosto un file. Non penso che sia pericoloso.

LassePoulsen
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.