<br><br><div class="gmail_quote">On Sun, May 17, 2009 at 10:35 AM, Gene Heskett <span dir="ltr"><<a href="mailto:gene.heskett@verizon.net">gene.heskett@verizon.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Greetings all;<br>
<br>
What is /dev/shm?<br>
<br>
I've given up on rkhunter ever shutting up about the group and passwd files,<br>
but fussing about this is new.<br>
---------------------- Start Rootkit Hunter Scan ----------------------<br>
Warning: Suspicious file types found in /dev:<br>
         /dev/shm/sem.ADBE_REL_root: data<br>
         /dev/shm/sem.ADBE_WritePrefs_root: data<br>
         /dev/shm/sem.ADBE_ReadPrefs_root: data<br>
<br>
And indeed, these files that I nuked friday are back:<br>
[root@coyote linux-2.6.30-rc6]# ls -l /dev/shm<br>
total 24<br>
-r-------- 1 root root 67108904 2009-05-16 02:37 pulse-shm-3724332759<br>
-rw-rw-rw- 1 root root       16 2009-05-16 20:33 sem.ADBE_ReadPrefs_root<br>
-rw-rw-rw- 1 root root       16 2009-05-16 20:33 sem.ADBE_REL_root<br>
-rw-rw-rw- 1 root root       16 2009-05-16 20:33 sem.ADBE_WritePrefs_root<br>
<br>
Anything with 'pulse' in its name has been nuked by an 'rpm -e', and I</blockquote><div><br>You should have not, but it is your choice. <br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
actually have working audio now, so can someone please explain this?  A 67<br>
megabyte file in /dev for an shm device is for what purpose?<br>
<br>
I looked at it with mc's hex viewer, and the first 10 or so megabytes are all<br>
$00.  I got tired of standing on the page down key.<br>
<br>
</blockquote><div><br>Just add these rules to /etc/rkhunter.conf, in the appropriate place:<br><br> # Allow the specified files to be present in the /dev directory,<br># and not regarded as suspicious. One file per line (use multiple<br>
# ALLOWDEVFILE lines).<br>#<br>#ALLOWDEVFILE=/dev/abc<br>#ALLOWDEVFILE=/dev/shm/pulse-shm-*<br># Adobe Reader (acroread) 9.x<br>ALLOWDEVFILE=/dev/shm/sem.ADBE_ReadPrefs_[a-zA-Z]*<br>ALLOWDEVFILE=/dev/shm/sem.ADBE_REL_[a-zA-Z]*<br>
ALLOWDEVFILE=/dev/shm/sem.ADBE_WritePrefs_[a-zA-Z]*</div></div><br clear="all"><br>-- <br>Paulo Roma Cavalcanti<br>LCG - UFRJ<br>