난 달린다:
:~$ sudo rkhunter --checkall --report-warnings-only
내가 받은 경고 중 하나는 다음과 같습니다.
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
다음 root.rules
을 포함합니다:
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
나는 이 변수들이 무엇을 의미 하고 SUBSYSTEM
무엇 을 하는지 이해하고 싶습니다 . ENV{MAJOR}
SYMLINK+
답변1
문제의 라인은udev
규칙, 규칙이 작동하는 장치를 식별하기 위한 특정 조건을 정의합니다.
SUBSYSTEM
장치의 하위 시스템과 일치하는 일치 키입니다. 이 경우 규칙은 sysbsystem 의 장치에만 일치합니다block
.ENV
환경 변수를 일치시키고 할당하는 데 사용할 수 있는 키입니다. 이 경우 규칙은 장치를MAJOR
이전에 로 선언된 변수8
및MINOR
이전에 로 선언된 변수와 일치시킵니다1
.SYMLINK
장치 노드의 대체 이름 역할을 하는 기호 링크 목록이 포함된 할당 키입니다. 양식의 작업은KEY+="value"
수행된 작업에 추가됩니다. 예를 들어 이 경우 디렉토리 아래에 호출되는 심볼릭 링크를 생성하라는SYMLINK+="root"
메시지가 표시됩니다 .udev
root
/dev
또한생성될 다른 모든 심볼릭 링크에 연결됩니다.
즉, 위의 규칙은 하위 시스템에 속한 장치에 대해 udev
추가 심볼릭 링크를 생성 하도록 지시합니다./dev/root
block
주요 장치 번호 8
그리고보조 장치 번호 1
, 즉 루트 파티션입니다.
문제의 파일은 mountall
파일 시스템 설치 도구에 의해 생성되었으며,세계적으로 쓰기 가능한 것이 아니라면, 문제가 되지 않습니다. rkhunter
파일 유형에 따라 파일에 태그를 지정합니다. 경고를 표시하지 않으려면 rkhunter
화이트리스트 규칙을 추가하면 됩니다 /etc/rkhunter.conf.local
.
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
답변2
udev 규칙은 SUBSUSTEM=="block"
정보 8,1( ENV{MAJOR}=="8", ENV{MINOR}=="1"
첫 번째 드라이브의 첫 번째 파티션)을 사용하여 설정의 블록 장치( )에 대한 심볼릭 링크를 생성합니다. 링크 이름은 /dev/root이며, SYMLINK+="root"
udev에 이 장치에 대해 이전에 생성된 링크를 덮어쓰지 않고 대신 링크를 추가하라는 더하기 기호가 있습니다.
많은 Linux 시스템에서 어떤 형태로든 발견되는 또 다른 유사한 규칙은 다음과 같습니다.
SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"
이는 일련 번호가 DVD_Drive_USB2_10000E0008441C1E인 블록 장치가 /dev/cdrom에 심볼릭 링크되어야 함을 의미합니다.
rkhunter가 왜 이에 대해 불평하는지 잘 모르겠지만 이는 전적으로 /dev/.udev/rules.d/root.rules가 장치 또는 심볼릭 링크 유형이 아니라 파일 유형이라는 사실 때문입니다. 나는 그것이 위험하다고 생각하지 않습니다.