我跑:
:~$ sudo rkhunter --checkall --report-warnings-only
我收到的警告之一:
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
和root.rules包含:
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
我想了解这些变量的含义和作用SUBSYSTEM,ENV{MAJOR}和SYMLINK+。
Answers:
所讨论的行是一条udev规则,它定义了某些条件,这些条件用于标识该规则所作用的设备。
SUBSYSTEM是匹配键,与设备的子系统匹配。在这种情况下,该规则仅匹配blocksysbsystem中的设备。
ENV是可用于匹配和分配环境变量的键。在这种情况下,规则将匹配具有MAJOR先前声明为8的MINOR变量和先前声明为的变量的设备1。
SYMLINK是分配键,其中包含符号链接列表,这些符号链接充当设备节点的备用名称。表单KEY+="value"中的动作会添加到已执行的动作中,例如,在这种情况下,除了要创建的任何其他符号链接之外,它还会SYMLINK+="root"告诉udev您root在/dev目录下创建一个符号链接。
换句话说,以上规则告诉udev为具有主要设备号和次要设备号/dev/root的block子系统的设备创建和附加符号链接 8 1(即根分区)。
有问题的文件是由mountall文件系统挂载工具创建的,除非它是可写的,否则不应该成为问题。rkhunter根据文件类型对其进行标记。要取消显示rkhunter警告,您可以将白名单规则添加到/etc/rkhunter.conf.local:
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
udev规则会在您的设置中SUBSUSTEM=="block"使用信息8,1(ENV{MAJOR}=="8", ENV{MINOR}=="1"第一个驱动器上的第一个分区)创建到块设备()的符号链接。该链接使用/命名为/ dev / root SYMLINK+="root",加号表示udev不应覆盖以前为此设备创建的任何链接,而应添加一个链接。
在许多Linux系统上以某种形式发现的另一条类似的规则是:
SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"
这表示将序列号DVD_Drive_USB2_10000E0008441C1E的块设备链接到/ dev / cdrom
我不太确定为什么rkhunter会抱怨这一点,但这完全是由于/dev/.udev/rules.d/root.rules的类型不是设备或符号链接,而是文件。我不认为这很危险。