rkhunter memperingatkan saya tentang root.rules

Saya berlari :

:~$ sudo rkhunter --checkall --report-warnings-only

Salah satu peringatan yang saya dapatkan:

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

dan root.rulesmengandung:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Saya ingin memahami arti dan peran variabel-variabel itu SUBSYSTEM, ENV{MAJOR}dan SYMLINK+.

Baris yang dipermasalahkan adalah udevaturan , yang menetapkan kondisi tertentu yang digunakan untuk mengidentifikasi perangkat yang digunakan aturan tersebut.

• SUBSYSTEMadalah kunci pencocokan, yang cocok dengan subsistem perangkat. Dalam kasus ini, aturan hanya cocok dengan perangkat dari sistem blocksysbs.

• ENVadalah kunci yang dapat digunakan untuk pencocokan dan penetapan variabel lingkungan. Dalam kasus ini, aturan cocok dengan perangkat dengan MAJORvariabel yang sebelumnya dideklarasikan 8, dan MINORvariabel yang sebelumnya dinyatakan 1.

• SYMLINKadalah kunci penugasan, yang berisi daftar tautan simbolik yang bertindak sebagai nama alternatif untuk simpul perangkat. Tindakan formulir KEY+="value"menambah tindakan yang dieksekusi, misalnya dalam kasus ini SYMLINK+="root"memberitahu udevuntuk membuat symlink yang disebut di rootbawah /devdirektori, selain symlink lain yang akan dibuat.

Dengan kata lain, aturan di atas memberi tahu udevuntuk membuat dan menambahkan symlink /dev/rootuntuk perangkat milik blocksubsistem dengan nomor perangkat utama 8 dan nomor perangkat minor 1 , yaitu partisi root.

File yang dimaksud dibuat oleh mountallalat pemasangan sistem file, dan kecuali itu bisa ditulis oleh dunia , seharusnya tidak menjadi masalah. rkhuntermenandai file karena jenisnya. Untuk menekan rkhunterperingatan, Anda dapat menambahkan aturan daftar putih ke /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules

Aturan udev membuat tautan simbolis ke blockdevice ( SUBSUSTEM=="block") dengan informasi 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"Partisi pertama pada drive pertama) di pengaturan Anda. Tautan tersebut dinamai / dev / root dengan SYMLINK+="root"tanda plus yang memberi tahu bahwa udev tidak boleh menimpa tautan sebelumnya yang dibuat ke perangkat ini, melainkan menambahkan satu tautan lagi ke dalamnya.

Aturan lain seperti ini ditemukan dalam beberapa bentuk di banyak sistem Linux adalah ini:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Ini mengatakan bahwa perangkat blok dengan nomor seri DVD_Drive_USB2_10000E0008441C1E dapat disinkronkan dengan / dev / cdrom

Saya tidak sepenuhnya yakin mengapa rkhunter mengeluh tentang hal ini, tetapi itu benar karena jenis /dev/.udev/rules.d/root.rules tidak menjadi perangkat atau tautan simbolik, melainkan sebuah file. Saya tidak berpikir ini berbahaya.