rkhunter: "Segmentos sospechosos de memoria compartida"

13

Tengo aquí un nuevo servidor instalado con CentOS7 y una instalación de GroupOffice en él. Después de instalar rkhunter y comenzar una comprobación de rkhunter obtengo:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

¿Alguien sabe lo que significan los "segmentos sospechosos de memoria compartida"? ¿Cómo puedo verificar si esto es un falso positivo? Y si es así: ¿cómo puedo hacer una lista blanca de este error?

EDITAR

Si intento enumerar el proceso con el comando ps, el proceso con el PID 1769 no está allí:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache
Steffen
fuente
Esta es una pregunta para "Information Security SE": security.stackexchange.com/questions/220302/…
rubo77

Respuestas:

12

Desde el registro de cambios para v 1.4.4 :

Se agregó la opción de archivo de configuración ALLOWIPCPROC. Esto se puede usar para incluir en la lista blanca procesos sospechosos utilizando segmentos de memoria compartida (que se encuentran durante la verificación 'ipc_shared_mem').

Para utilizar la lista blanca, use lo siguiente

ALLOWIPCPROC=path/to/service

p.ej

ALLOWIPCPROC=/usr/sbin/httpd
usuario425741
fuente
66
Esto no explica por qué Apache usa segmentos de memoria compartida, o por qué es seguro permitir eso. Alentar a las personas a ignorar ciegamente las advertencias no es muy útil, incluso si esta vez es seguro, puede que no sea la próxima vez que lo hagan.
Adam Spires
8

El concepto de segmentos de memoria compartida se explica en: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Como su nombre indica, un segmento de memoria compartida es un segmento de memoria que puede ser compartido por múltiples procesos. El proceso del servidor web Apache, que es el archivo: / usr / sbin / httpd usa memoria compartida. Utiliza memoria compartida para compartir datos entre los trabajadores del servidor Apache. Esto se explica en: caché de objetos compartidos en el servidor HTTP Apache

Acceder a la memoria compartida es un riesgo de seguridad porque permite que un proceso lea y modifique potencialmente la memoria utilizada por otro proceso. Solo los procesos de confianza deben tener acceso a la memoria compartida. El escaneo de seguridad de Rkhunter es un poco estricto ya que considera que el proceso confiable / usr / sbin / httpd es sospechoso.

Esta advertencia se puede ignorar de manera segura como se sugiere en el foro de Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-server .

Para ignorar la advertencia, la ruta al proceso que está accediendo a la Segmentación de memoria compartida, debe agregarse a la opción ALLOWIPCPROC en el archivo de configuración rkhunter.conf. La ruta al proceso en este caso es: / usr / sbin / httpd .

El archivo rkhunter.conf contiene la siguiente documentación sobre la opción ALLOWIPCPROC :

Permita que los nombres de ruta de proceso especificados utilicen segmentos de memoria compartida. Esta opción se puede especificar más de una vez y puede usar caracteres comodín. El valor predeterminado es la cadena nula.

Nadir Latif
fuente
2
Votar porque esto es mejor que la respuesta aceptada, pero aún no explica por qué es seguro ignorarlo. ¿Por qué Apache necesita segmentos de memoria compartida?
Adam Spires
0

Después de detener el httpd, la advertencia desaparece (como se esperaba). Después de iniciar el httpd, la advertencia vuelve a aparecer (¡con el mismo PID!). Lo había intentado varias veces (cada caso con el mismo resultado).

Pero : después de reiniciar el servidor, la advertencia se ha ido. He estado jugando con el servidor (inicio de sesión en GroupOffice, reiniciando httpd, etc.) y parece que la advertencia se ha ido de forma persistente (con suerte). Sin embargo, observaré esto en los próximos días ...

No tengo idea de lo que significa la advertencia "Segmentos sospechosos de memoria compartida" y cómo puedo averiguar si esto es un falso positivo o no. Así que tampoco marcaré esta pregunta / respuesta como "respondida" ...

Gracias y saludos, Steffen

Steffen
fuente
Los
asustaste