rkhunter เตือนฉันเกี่ยวกับรูทกฎ

15

ฉันวิ่ง : 

:~$ sudo rkhunter --checkall --report-warnings-only

หนึ่งในคำเตือนที่ฉันได้รับ: 

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

และroot.rulesประกอบด้วย:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

ฉันต้องการที่จะเข้าใจความหมายและบทบาทของตัวแปรเหล่านั้นSUBSYSTEM, และ ENV{MAJOR}SYMLINK+

security  chkrootkit  rkhunter 
4m1nh4j1
แหล่งที่มา

คำตอบ:

13

บรรทัดที่มีปัญหาคือudevกฎซึ่งกำหนดเงื่อนไขบางอย่างที่ใช้เพื่อระบุอุปกรณ์ที่กฎนั้นดำเนินการ

  • SUBSYSTEMเป็นคีย์การจับคู่ซึ่งจับคู่กับระบบย่อยของอุปกรณ์ ในกรณีนี้กฎจะจับคู่อุปกรณ์จากระบบblocksysbs เท่านั้น

  • ENVเป็นกุญแจสำคัญที่อาจใช้สำหรับการจับคู่และการกำหนดตัวแปรสภาพแวดล้อม ในกรณีนี้กฎตรงกับอุปกรณ์ที่มีMAJORตัวแปรที่ก่อนหน้านี้ประกาศ8และตัวแปรก่อนหน้านี้ประกาศให้MINOR1

  • SYMLINKเป็นคีย์การกำหนดค่าซึ่งมีรายการลิงก์สัญลักษณ์ซึ่งทำหน้าที่เป็นชื่อทางเลือกสำหรับโหนดอุปกรณ์ การกระทำของแบบฟอร์มKEY+="value"เพิ่มไปยังการดำเนินการที่ดำเนินการตัวอย่างเช่นในกรณีนี้SYMLINK+="root"บอกudevให้สร้าง symlink ที่เรียกว่าrootภายใต้/devไดเรกทอรีนอกเหนือจาก symlink อื่น ๆ ที่จะถูกสร้างขึ้น

กล่าวอีกนัยหนึ่งกฎข้างต้นบอกudevให้สร้างและ symlink เพิ่มเติม/dev/rootสำหรับอุปกรณ์ที่เป็นของblockระบบย่อยที่มีหมายเลขอุปกรณ์หลัก 8และหมายเลขอุปกรณ์รอง 1คือพาร์ติชันรูท

ไฟล์ที่เป็นปัญหาถูกสร้างขึ้นโดยmountallเครื่องมือติดตั้งระบบไฟล์และหากไม่สามารถเขียนได้ทั่วโลกไม่ควรมีปัญหา rkhunterธงไฟล์เพราะประเภทของมัน ในการระงับrkhunterคำเตือนคุณสามารถเพิ่มกฎบัญชีขาวลงใน/etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
โทมัสนีแมน
แหล่งที่มา
3

กฎ udev สร้างลิงก์สัญลักษณ์ไปยัง blockdevice ( SUBSUSTEM=="block") พร้อมข้อมูล 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"พาร์ติชันแรกในไดรฟ์แรก) ในการตั้งค่าของคุณ ลิงค์นี้มีชื่อว่า / dev / root SYMLINK+="root"พร้อมเครื่องหมายบวกบอกว่า udev ไม่ควรเขียนทับลิงก์ก่อนหน้าใด ๆ ที่สร้างขึ้นในอุปกรณ์นี้ แต่ควรเพิ่มลิงค์อีกหนึ่งลิงก์

กฎอื่น ๆ เช่นนี้ที่พบในบางรูปแบบในระบบ Linux จำนวนมากคืออันนี้:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

สิ่งนี้บอกว่าบล็อคอุปกรณ์ที่มีหมายเลขอนุกรม DVD_Drive_USB2_10000E0008441C1E จะเชื่อมโยงกับ / dev / cdrom

ฉันไม่แน่ใจว่าทำไม rkhunter ถึงบ่นเกี่ยวกับเรื่องนี้ แต่มันเป็นเพราะประเภทของ /dev/.udev/rules.d/root.rules ไม่ใช่อุปกรณ์หรือลิงก์สัญลักษณ์ แต่เป็นไฟล์ ฉันไม่คิดว่านี่จะเป็นอันตราย

LassePoulsen
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.