rkhunter m'avertit de root.rules

Je cours :

:~$ sudo rkhunter --checkall --report-warnings-only

Un des avertissements que j'ai:

Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text

et root.rulescontient:

SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"

Je voudrais comprendre la signification et le rôle de ces variables SUBSYSTEM, ENV{MAJOR}et SYMLINK+.

La ligne en question est une udevrègle , qui définit certaines conditions utilisées pour identifier le périphérique sur lequel la règle agit.

• SUBSYSTEMest une clé de correspondance, qui est comparée au sous-système de l'appareil. Dans ce cas, la règle correspond uniquement aux périphériques du blocksystème système.

• ENVest la clé qui peut être utilisée pour faire correspondre et assigner des variables d'environnement. Dans ce cas, la règle fait correspondre les périphériques avec la MAJORvariable précédemment déclarée à 8et la MINORvariable précédemment déclarée à 1.

• SYMLINKest une clé d'affectation, qui contient une liste de liens symboliques qui agissent comme des noms alternatifs pour le nœud de périphérique. Les actions du formulaire KEY+="value"s'ajoutent aux actions qui sont exécutées, par exemple dans ce cas, SYMLINK+="root"indique udevde créer un lien symbolique appelé rootsous le /devrépertoire, en plus de tout autre lien symbolique qui va être créé.

En d'autres termes, la règle ci-dessus indique udevde créer et un lien symbolique supplémentaire /dev/rootpour les périphériques appartenant au blocksous - système avec le numéro de périphérique majeur 8 et le numéro de périphérique mineur 1 , c'est-à-dire la partition racine.

Le fichier en question est créé par l' mountalloutil de montage du système de fichiers et, à moins qu'il ne soit accessible en écriture , ne devrait pas poser de problème. rkhuntermarque le fichier en raison de son type. Pour supprimer l' rkhunteravertissement, vous pouvez ajouter une règle de liste blanche à /etc/rkhunter.conf.local:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules

La règle udev crée un lien symbolique vers le blockdevice ( SUBSUSTEM=="block") avec les informations 8,1 ( ENV{MAJOR}=="8", ENV{MINOR}=="1"La première partition sur le premier lecteur) dans votre configuration. Le lien est nommé / dev / root avec le SYMLINK+="root", le signe plus indique que udev ne doit pas écraser les liens précédents créés vers ce périphérique, mais plutôt y ajouter un lien supplémentaire.

Une autre règle comme celle-ci trouvée sous une forme ou une autre sur de nombreux systèmes Linux est celle-ci:

SUBSYSTEM=="block", ENV{ID_SERIAL}=="DVD_Drive_USB2_10000E0008441C1E", SYMLINK+="cdrom"

Cela signifie que le périphérique avec le numéro de série DVD_Drive_USB2_10000E0008441C1E doit être lié à / dev / cdrom

Je ne sais pas exactement pourquoi rkhunter s'en plaint, mais c'est correctement dû au fait que le type de /dev/.udev/rules.d/root.rules n'est pas un périphérique ou un lien symbolique, mais plutôt un fichier. Je ne pense pas que ce soit dangereux.