rkhunter: “Şüpheli Paylaşılan Bellek segmentleri”

Burada yeni bir yüklü sunucu CentOS7 ve bir GroupOffice yükleme var. Rkhunter'ı kurduktan ve bir rkhunter kontrolünü başlattıktan sonra:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

"Şüpheli Paylaşılan Bellek segmentleri" nin ne anlama geldiğini bilen var mı? Bunun yanlış bir pozitif olup olmadığını nasıl kontrol edebilirim? Ve eğer öyleyse: Bu hatayı nasıl beyaz listeleyebilirim?

DÜZENLE

Ben ps komutu ile süreci listelemek çalışırsanız PID 1769 ile süreç orada değil:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

1.4.4 için değişiklik günlüğünden :

ALLOWIPCPROC yapılandırma dosyası seçeneği eklendi. Bu, paylaşılan bellek segmentlerini ('ipc_shared_mem' kontrolü sırasında bulunur) kullanarak şüpheli işlemleri beyaz listeye eklemek için kullanılabilir.

Beyaz listeye eklemek için aşağıdakileri kullanın

ALLOWIPCPROC=path/to/service

Örneğin

ALLOWIPCPROC=/usr/sbin/httpd

Paylaşılan Bellek Bölümleri kavramı şu adreste açıklanmıştır: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Adından da anlaşılacağı gibi, Paylaşılan Bellek Segmenti, birden çok işlem tarafından paylaşılabilen bir bellek segmentidir. / Usr / sbin / httpd dosyası olan Apache web sunucusu işlemi paylaşılan belleği kullanır. Apache sunucusu çalışanları arasında veri paylaşmak için paylaşılan belleği kullanır. Bu konuda açıklanmıştır: Apache HTTP Sunucusunda Paylaşılan Nesne Önbelleği

Paylaşılan belleğe erişim bir güvenlik riskidir, çünkü bir işlemin başka bir işlem tarafından kullanılan belleği okumasına ve potansiyel olarak değiştirmesine izin verir. Paylaşılan belleğe yalnızca güvenilir işlemlerin erişmesine izin verilmelidir. Rkhunter güvenlik taraması biraz katıdır, çünkü güvenilir işlem / usr / sbin / httpd şüpheli olarak kabul edilir.

Bu uyarı Plesk forumunda önerildiği gibi güvenli bir şekilde göz ardı edilebilir: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-sunucusu .

Uyarıyı yok saymak için, Paylaşılan Bellek Segmentine erişen işlemin yolu rkhunter.conf yapılandırma dosyasındaki ALLOWIPCPROC seçeneğine eklenmelidir . Bu durumda işlemin yolu: / usr / sbin / httpd .

Rkhunter.conf dosyası ALLOWIPCPROC seçeneğiyle ilgili aşağıdaki belgeleri içerir :

Belirtilen işlem yol adlarının paylaşılan bellek segmentlerini kullanmasına izin verin. Bu seçenek bir kereden fazla belirtilebilir ve joker karakterler kullanabilir. Varsayılan değer null dizesidir.

Httpd durdurulduktan sonra uyarı gitti (beklendiği gibi). Httpd başlatıldıktan sonra tekrar uyarı verilir (aynı PID ile!). Bunu birkaç kez denedim (her durumda aynı sonuç).

Ancak : Sunucuyu yeniden başlattıktan sonra uyarı kaybolur. Ben sunucu ile oynamak (GroupOffice giriş, httpd ve benzeri yeniden başlatma) ve uyarı sürekli (umarım) gitti gibi görünüyor. Ancak önümüzdeki günlerde bu şeyi gözlemleyeceğim ...

"Şüpheli Paylaşılan Bellek segmentleri" uyarısının ne anlama geldiğini ve bunun yanlış bir pozitif olup olmadığını nasıl anlayabileceğimi bilmiyorum. Bu yüzden bu soruyu / cevabı "cevaplandı" olarak işaretlemeyeceğim ...

Teşekkür ve saygılarımla, Steffen