난 달린다:
:~$ sudo rkhunter --checkall --report-warnings-only
내가 받은 경고 중 하나는 다음과 같습니다.
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
다음 root.rules을 포함합니다:
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
나는 이 변수들이 무엇을 의미 하고 SUBSYSTEM무엇 을 하는지 이해하고 싶습니다 . ENV{MAJOR}SYMLINK+
답변1
문제의 라인은udev규칙, 규칙이 작동하는 장치를 식별하기 위한 특정 조건을 정의합니다.
SUBSYSTEM장치의 하위 시스템과 일치하는 일치 키입니다. 이 경우 규칙은 sysbsystem 의 장치에만 일치합니다block.ENV환경 변수를 일치시키고 할당하는 데 사용할 수 있는 키입니다. 이 경우 규칙은 장치를MAJOR이전에 로 선언된 변수8및MINOR이전에 로 선언된 변수와 일치시킵니다1.SYMLINK장치 노드의 대체 이름 역할을 하는 기호 링크 목록이 포함된 할당 키입니다. 양식의 작업은KEY+="value"수행된 작업에 추가됩니다. 예를 들어 이 경우 디렉토리 아래에 호출되는 심볼릭 링크를 생성하라는SYMLINK+="root"메시지가 표시됩니다 .udevroot/dev또한생성될 다른 모든 심볼릭 링크에 연결됩니다.
즉, 위의 규칙은 하위 시스템에 속한 장치에 대해 udev추가 심볼릭 링크를 생성 하도록 지시합니다./dev/rootblock주요 장치 번호 8그리고보조 장치 번호 1, 즉 루트 파티션입니다.
문제의 파일은 mountall파일 시스템 설치 도구에 의해 생성되었으며,세계적으로 쓰기 가능한 것이 아니라면, 문제가 되지 않습니다. rkhunter파일 유형에 따라 파일에 태그를 지정합니다. 경고를 표시하지 않으려면 rkhunter화이트리스트 규칙을 추가하면 됩니다 /etc/rkhunter.conf.local.
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
답변2
udev 규칙은 SUBSUSTEM=="block"정보 8,1( ENV{MAJOR}=="8", ENV{MINOR}=="1"첫 번째 드라이브의 첫 번째 파티션)을 사용하여 설정의 블록 장치( )에 대한 심볼릭 링크를 생성합니다. 링크 이름은 /dev/root이며, SYMLINK+="root"udev에 이 장치에 대해 이전에 생성된 링크를 덮어쓰지 않고 대신 링크를 추가하라는 더하기 기호가 있습니다.
많은 Linux 시스템에서 어떤 형태로든 발견되는 또 다른 유사한 규칙은 다음과 같습니다.
SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"
이는 일련 번호가 DVD_Drive_USB2_10000E0008441C1E인 블록 장치가 /dev/cdrom에 심볼릭 링크되어야 함을 의미합니다.
rkhunter가 왜 이에 대해 불평하는지 잘 모르겠지만 이는 전적으로 /dev/.udev/rules.d/root.rules가 장치 또는 심볼릭 링크 유형이 아니라 파일 유형이라는 사실 때문입니다. 나는 그것이 위험하다고 생각하지 않습니다.