Назад | Перейти на главную страницу

rkhunter: Подозрительные типы файлов, обнаруженные в / dev / null: текст ASCII

так что есть эта ситуация, которая раздражает, поскольку он отправляет электронное письмо с предупреждением во время каждой проверки rkhunter на некоторых серверах.

В основном ошибка такая:

Warning: Suspicious file types found in /dev:
         /dev/null : ASCII text
    

Я понятия не имею, как это могло произойти, поскольку это специальный символьный файл:

# /usr/bin/file /dev/null
/dev/null: character special

Я уже пытался подавить это предупреждение, попробовав следующие строки в rkhunter.conf:

EXISTWHITELIST=/dev/null
ALLOWHIDDENFILE=/dev/null
ALLOWPROCDELFILE=/dev/null
ALLOWPROCDELFILE=/dev/null
ALLOWDEVFILE=/dev/null

Тем не менее, все это не избавляет от этого предупреждения.

Также обнаружена эта ошибка: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=866373

Он вернулся с версии 2017 и 1.4.2-6, и я получаю точное предупреждение с 1.4.6.

Кто-нибудь знает, как избавиться от этого предупреждения? У меня есть идея "un" -grep / dev / null из вывода и передать его по электронной почте, но это потребует значительных усилий, и гораздо лучше было бы занести его в белый список в файле conf.

[]# ls -ld /dev/null
crw-rw-rw- 1 root root 1, 3 Sep  6  2019 /dev/null

Как видно из этого вывода, это действительно специальный символ.

P.s. это очень легко воспроизвести: rkhunter --check --report-warnings-only --no-mail-on-warning --enable filesystem

@Mircea Vutcovici

Ваш ответ заставил меня ls the / dev, но на этот раз я сделал $ (ls -l / dev), а не $ (ls -l / dev / null) И угадайте, что! Нашел это:

crw-rw-rw-  1 root root      1,   3 Sep  6  2019 null
-rw-r--r--  1 root root          54 Mar 18 21:41 null

Спасибо! :)

P.s. самое смешное:

[]# ls -lh /dev/null
crw-rw-rw- 1 root root 1, 3 Sep  6  2019 /dev/null

[]# ls -lh /dev/nul*
crw-rw-rw- 1 root root 1, 3 Sep  6  2019 /dev/null
-rw-r--r-- 1 root root   54 Mar 18 21:41 /dev/null

Проверьте, является ли / dev / null символьным устройством, если нет, вам нужно его переместить, затем воссоздайте его:

# Switch to "root" user
sudo -i
# Check if /dev/null is a character device
if [[ ! -c /dev/null ]];then
    # Backup/rename the current file
    mv -vi /dev/null{,-$(date +%F_%H%M%S).backup}
    # Create the character device /dev/null
    mknod /dev/null -m a=rw c 1 3
    # Restore SELinux permissions (needed only for RHEL, Fedora, CentOS)
    restorecon -v /dev/null
fi