web-dev-qa-db-fra.com

Rkhunter me met en garde sur root.rules

Je cours :

:~$ Sudo rkhunter --checkall --report-warnings-only

Un des avertissements que j'ai:

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

et le root.rules contient:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Je voudrais comprendre le sens et le rôle de ces variables SUBSYSTEM, ENV{MAJOR} et SYMLINK+.

securitychkrootkitrkhunter
15
4m1nh4j1

La ligne en question est une udev règle , qui définit certaines conditions utilisées pour identifier le périphérique que la règle agit.

  • SUBSYSTEM est une clé de correspondance correspondant au sous-système de l'appareil. Dans ce cas, la règle ne correspond que des périphériques à partir du système sysemme block.

  • ENV est la clé qui peut être utilisée à la fois pour la correspondance et l'attribution de variables d'environnement. Dans ce cas, la règle correspond à des périphériques avec la variable MAJOR précédemment déclarée à 8, et la variable MINOR précédemment déclarée à 1.

  • SYMLINK est une clé d'affectation qui contient une liste de liens symboliques qui agissent en tant que noms alternatifs pour le nœud de périphérique. Actions de la forme KEY+="value" Ajouter aux actions exécutées, par exemple dans ce cas SYMLINK+="root" indique udev pour créer un symbolique appelé root sous la /dev répertoire, En outre à tout autre symbole symbolique qui va être créé.

En d'autres termes, la règle ci-dessus indique udev à créer et à un lien symbolique supplémentaire /dev/root Pour les périphériques appartenant au sous-système block avec numéro de périphérique majeur8 et numéro de périphérique mineur1, c'est-à-dire la partition racine.

Le fichier en question est créé par l'outil de montage du système de fichiers mountall, et sauf si c'est écrit mondial , ne devrait pas être un problème. rkhunter marque le fichier en raison de son type. Pour supprimer l'avertissement rkhunter, vous pouvez ajouter une règle blanche à /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
13
Thomas Nyman

La règle Udev crée un lien symbolique au blocdevice (SUBSUSTEM=="block") avec les informations 8,1 (ENV{MAJOR}=="8", ENV{MINOR}=="1" La première partition sur le premier lecteur) dans votre configuration. Le lien est nommé/dev/root avec le SYMLINK+="root", le signe plus indique que udev ne doit pas écraser les liens précédents créés sur cet appareil, mais ajoutez plutôt un lien de plus.

Une autre règle comme celle-ci trouvée sous une forme sur de nombreux systèmes Linux est celle-ci:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Ceci indique que le blocdevice avec le SerialNumber DVD_Drive_USB2_10000E0008441C1E doit être sympathique à/dev/cdrom

Je ne suis pas tout à fait sûr que Rkhunter se plaint à ce sujet, mais il est correctement dû au type de /dev/.udev/roules.d/root.rules n'étant pas un appareil ou un lien symbolique, mais plutôt un fichier. Je ne pense pas que c'est dangereux.

3
LassePoulsen