난 달린다 :
:~$ sudo rkhunter --checkall --report-warnings-only
내가 가진 경고 중 하나 :
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
그리고 root.rules포함 :
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
나는 그 변수의 의미와 역할을 이해하고 싶은 SUBSYSTEM, ENV{MAJOR}하고 SYMLINK+.
답변:
문제의 라인은이다 udev규칙 규칙에 따라 역할을하는 장치를 식별하는 데 사용되는 특정 조건을 정의합니다.
SUBSYSTEM일치 키는 장치의 하위 시스템과 일치합니다. 이 경우 규칙은 blocksysbsystem의 장치 만 일치합니다 .
ENV환경 변수 일치 및 지정에 모두 사용될 수있는 키입니다. 이 경우 규칙은 MAJOR이전에 선언 8된 MINOR변수 및 이전에 선언 된 변수 와 장치를 일치 1시킵니다.
SYMLINK장치 키의 대체 이름으로 작동하는 기호 링크 목록이 포함 된 할당 키입니다. 양식의 작업 KEY+="value"이 경우 예를 들어, 실행되는 조치에 담기는 SYMLINK+="root"이야기 udev라는 심볼릭 링크 생성 root세 이하 /dev, 디렉토리를 추가로 생성하려고하는 다른 심볼릭 링크합니다.
다시 말해, 위의 규칙은 주요 장치 번호 와 부 장치 번호 (즉, 루트 파티션)를 가진 서브 시스템에 속하는 장치에 대한 udev추가 symlink를 작성하고 지시 합니다./dev/rootblock 8 1
문제의 파일은 mountall파일 시스템 마운팅 도구에 의해 작성되며 월드 쓰기 가능하지 않으면 문제가되지 않습니다. rkhunter파일 형식 때문에 파일에 플래그를 지정합니다. rkhunter경고 를 표시하지 않으려면 다음에 화이트리스트 규칙을 추가하십시오 /etc/rkhunter.conf.local.
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
udev 규칙은 설정 SUBSUSTEM=="block"에서 정보 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"첫 번째 드라이브의 첫 번째 파티션 ) 을 사용하여 블록 장치 ( )에 대한 심볼릭 링크를 만듭니다 . 링크 이름은 / dev / root이며 SYMLINK+="root"더하기 기호는 udev가이 장치에 생성 된 이전 링크를 덮어 쓰지 말고 링크를 하나 더 추가해야한다는 것을 나타냅니다.
많은 Linux 시스템에서 어떤 형태로 발견되는 이와 같은 다른 규칙은 다음과 같습니다.
SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"
이것은 일련 번호가 DVD_Drive_USB2_10000E0008441C1E 인 블록 장치가 / dev / cdrom에 심볼릭 링크되어 있음을 나타냅니다.
나는 왜 rkhunter가 이것에 대해 불평하는지 완전히 확신하지는 못하지만 /dev/.udev/rules.d/root.rules의 유형은 장치 또는 심볼릭 링크가 아니라 파일이기 때문에 적절합니다. 나는 이것이 위험하다고 생각하지 않습니다.