Tôi chạy :
:~$ sudo rkhunter --checkall --report-warnings-only
Một trong những cảnh báo tôi đã nhận được:
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
và root.ruleschứa:
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
Tôi muốn hiểu ý nghĩa và vai trò của các biến đó SUBSYSTEM, ENV{MAJOR}và SYMLINK+.
Câu trả lời:
Dòng trong câu hỏi là một udevquy tắc , trong đó xác định các điều kiện nhất định được sử dụng để xác định thiết bị mà quy tắc đang hành động.
SUBSYSTEMlà khóa khớp, được khớp với hệ thống con của thiết bị. Trong trường hợp này, quy tắc chỉ khớp với các thiết bị từ hệ blockthống sysbs.
ENVlà khóa có thể được sử dụng cho cả hai biến môi trường khớp và gán. Trong trường hợp này, quy tắc khớp với các thiết bị có MAJORbiến được khai báo trước đó 8và MINORbiến được khai báo trước đó 1.
SYMLINKlà một khóa gán, chứa danh sách các liên kết tượng trưng đóng vai trò là tên thay thế cho nút thiết bị. Các hành động của biểu mẫu KEY+="value"thêm vào các hành động được thực thi, ví dụ trong trường hợp này SYMLINK+="root"yêu udevcầu tạo một liên kết tượng trưng được gọi roottrong /devthư mục, ngoài bất kỳ liên kết tượng trưng nào khác sẽ được tạo.
Nói cách khác, quy tắc trên yêu udevcầu tạo và thêm liên kết tượng trưng /dev/rootcho các thiết bị thuộc blockhệ thống con với số thiết bị chính 8 và số thiết bị phụ 1 , tức là phân vùng gốc.
Tệp trong câu hỏi được tạo bởi mountallcông cụ gắn hệ thống tệp và trừ khi nó có thể ghi trên thế giới , không nên là một vấn đề. rkhuntergắn cờ các tập tin vì loại của nó. Để loại bỏ rkhuntercảnh báo, bạn có thể thêm quy tắc danh sách trắng vào /etc/rkhunter.conf.local:
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
Quy tắc udev tạo ra một liên kết tượng trưng đến blockdevice ( SUBSUSTEM=="block") với thông tin 8.1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"Phân vùng đầu tiên trên ổ đĩa đầu tiên) trong thiết lập của bạn. Liên kết được đặt tên / dev / root với dấu SYMLINK+="root", dấu cộng cho biết rằng udev không nên ghi đè lên bất kỳ liên kết nào trước đó được tạo cho thiết bị này, mà nên thêm một liên kết nữa vào nó.
Một quy tắc khác như thế này được tìm thấy ở một số dạng trên nhiều hệ thống Linux là quy tắc này:
SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"
Điều này nói rằng blockdevice với serialnumber DVD_Drive_USB2_10000E0008441C1E có thể được liên kết với / dev / cdrom
Tôi không hoàn toàn chắc chắn tại sao rkhunter phàn nàn về điều này, nhưng nó đúng là do loại /dev/.udev/rules.d/root.rules không phải là một thiết bị hoặc liên kết tượng trưng, mà là một tệp. Tôi không nghĩ rằng điều này là nguy hiểm.