4m1*_*4j1 16 security chkrootkit rkhunter
我跑:
:~$ sudo rkhunter --checkall --report-warnings-only
我收到的警告之一:
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
并且root.rules包含:
SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root"
我想了解这些变量的含义和作用SUBSYSTEM,ENV{MAJOR}以及SYMLINK+。
Tho*_*man 14
有问题的行是一个udevrule,它定义了某些条件,用于识别规则所作用的设备。
SUBSYSTEM是一个匹配键,它与设备的子系统匹配。在这种情况下,规则仅匹配来自blocksysbsystem 的设备。
ENV是键,可用于匹配和分配环境变量。在这种情况下,规则匹配具有MAJOR先前声明为8的MINOR变量和先前声明为的变量的设备1。
SYMLINK是一个赋值键,它包含一个符号链接列表,这些链接充当设备节点的替代名称。表单KEY+="value"的动作添加到执行的动作中,例如在这种情况下,除了将要创建的任何其他符号链接之外,还SYMLINK+="root"告诉udev创建一个root在/dev目录下调用的符号链接。
换句话说,上述规则告诉为属于具有主要设备号和次要设备号的子系统(即根分区)的设备udev创建和附加符号链接。/dev/rootblock 8 1
有问题的文件是由mountall文件系统挂载工具创建的,除非它是全局可写的,否则应该不是问题。rkhunter根据文件类型标记文件。要取消rkhunter警告,您可以将白名单规则添加到/etc/rkhunter.conf.local:
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
| 归档时间: |
|
| 查看次数: |
12639 次 |
| 最近记录: |