rkhunter m'avertit de root.rules

15

Je cours : 

:~$ sudo rkhunter --checkall --report-warnings-only

Un des avertissements que j'ai: 

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

et root.rulescontient:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Je voudrais comprendre la signification et le rôle de ces variables SUBSYSTEM, ENV{MAJOR}et SYMLINK+.

security  chkrootkit  rkhunter 
4m1nh4j1
source

Réponses:

13

La ligne en question est une udevrègle , qui définit certaines conditions utilisées pour identifier le périphérique sur lequel la règle agit.

  • SUBSYSTEMest une clé de correspondance, qui est comparée au sous-système de l'appareil. Dans ce cas, la règle correspond uniquement aux périphériques du blocksystème système.

  • ENVest la clé qui peut être utilisée pour faire correspondre et assigner des variables d'environnement. Dans ce cas, la règle fait correspondre les périphériques avec la MAJORvariable précédemment déclarée à 8et la MINORvariable précédemment déclarée à 1.

  • SYMLINKest une clé d'affectation, qui contient une liste de liens symboliques qui agissent comme des noms alternatifs pour le nœud de périphérique. Les actions du formulaire KEY+="value"s'ajoutent aux actions qui sont exécutées, par exemple dans ce cas, SYMLINK+="root"indique udevde créer un lien symbolique appelé rootsous le /devrépertoire, en plus de tout autre lien symbolique qui va être créé.

En d'autres termes, la règle ci-dessus indique udevde créer et un lien symbolique supplémentaire /dev/rootpour les périphériques appartenant au blocksous - système avec le numéro de périphérique majeur 8 et le numéro de périphérique mineur 1 , c'est-à-dire la partition racine.

Le fichier en question est créé par l' mountalloutil de montage du système de fichiers et, à moins qu'il ne soit accessible en écriture , ne devrait pas poser de problème. rkhuntermarque le fichier en raison de son type. Pour supprimer l' rkhunteravertissement, vous pouvez ajouter une règle de liste blanche à /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Thomas Nyman
source
3

La règle udev crée un lien symbolique vers le blockdevice ( SUBSUSTEM=="block") avec les informations 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"La première partition sur le premier lecteur) dans votre configuration. Le lien est nommé / dev / root avec le SYMLINK+="root", le signe plus indique que udev ne doit pas écraser les liens précédents créés vers ce périphérique, mais plutôt y ajouter un lien supplémentaire.

Une autre règle comme celle-ci trouvée sous une forme ou une autre sur de nombreux systèmes Linux est celle-ci:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Cela signifie que le périphérique avec le numéro de série DVD_Drive_USB2_10000E0008441C1E doit être lié à / dev / cdrom

Je ne sais pas exactement pourquoi rkhunter s'en plaint, mais c'est correctement dû au fait que le type de /dev/.udev/rules.d/root.rules n'est pas un périphérique ou un lien symbolique, mais plutôt un fichier. Je ne pense pas que ce soit dangereux.

LassePoulsen
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.