rkhunter me advierte sobre root.rules

15

Corro : 

:~$ sudo rkhunter --checkall --report-warnings-only

Una de las advertencias que tengo: 

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

y el root.rulescontiene:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Me gustaría entender el significado y el papel de esas variables SUBSYSTEM, ENV{MAJOR}y SYMLINK+.

security  chkrootkit  rkhunter 
4m1nh4j1
fuente

Respuestas:

13

La línea en cuestión es una udevregla , que define ciertas condiciones utilizadas para identificar el dispositivo sobre el que actúa la regla.

  • SUBSYSTEMes una clave de coincidencia, que se compara con el subsistema del dispositivo. En este caso, la regla solo coincide con dispositivos del sistema blocksysbsystem.

  • ENVes la clave que se puede usar para emparejar y asignar variables de entorno. En este caso, la regla hace coincidir los dispositivos con la MAJORvariable declarada previamente 8y la MINORvariable declarada previamente 1.

  • SYMLINKes una clave de asignación, que contiene una lista de enlaces simbólicos que actúan como nombres alternativos para el nodo del dispositivo. Las acciones del formulario se KEY+="value"suman a las acciones que se ejecutan, por ejemplo, en este caso, SYMLINK+="root"le indica udevque cree un enlace simbólico llamado rooten el /devdirectorio, además de cualquier otro enlace simbólico que se va a crear.

En otras palabras, la regla anterior indica udevcrear un enlace simbólico adicional /dev/rootpara los dispositivos que pertenecen al blocksubsistema con un número de dispositivo mayor 8 y un número de dispositivo menor 1 , es decir, la partición raíz.

El archivo en cuestión es creado por la mountallherramienta de montaje del sistema de archivos y, a menos que sea de escritura mundial , no debería ser un problema. rkhuntermarca el archivo debido a su tipo. Para suprimir la rkhunteradvertencia, puede agregar una regla de lista blanca a /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Thomas Nyman
fuente
3

La regla udev crea un enlace simbólico al blockdevice ( SUBSUSTEM=="block") con la información 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"La primera partición en la primera unidad) en su configuración. El enlace se llama / dev / root con el SYMLINK+="root", el signo más indica que udev no debe sobrescribir ningún enlace anterior creado para este dispositivo, sino que debe agregarle un enlace más.

Otra regla como esta que se encuentra de alguna forma en muchos sistemas Linux es esta:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Esto dice que el dispositivo de bloque con el número de serie DVD_Drive_USB2_10000E0008441C1E debe estar vinculado a / dev / cdrom

No estoy completamente seguro de por qué rkhunter se queja de esto, pero se debe correctamente a que el tipo de /dev/.udev/rules.d/root.rules no es un dispositivo o un enlace simbólico, sino un archivo. No creo que esto sea peligroso.

LassePoulsen
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.