Tengo aquí un nuevo servidor instalado con CentOS7 y una instalación de GroupOffice en él. Después de instalar rkhunter y comenzar una comprobación de rkhunter obtengo:
[09:58:15] Suspicious Shared Memory segments
[09:58:15] Process: PID: 1769 Owner: apache [ Found ]
[09:58:15] Suspicious Shared Memory segments [ Warning ]
¿Alguien sabe lo que significan los "segmentos sospechosos de memoria compartida"? ¿Cómo puedo verificar si esto es un falso positivo? Y si es así: ¿cómo puedo hacer una lista blanca de este error?
EDITAR
Si intento enumerar el proceso con el comando ps, el proceso con el PID 1769 no está allí:
# ps -p 1769
PID TTY TIME CMD
# ps aux | grep 1769
root 12777 0.0 0.0 112660 960 pts/0 S+ 10:25 0:00 grep --color=auto 1769
# ps aux | grep apache
apache 12606 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12607 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12608 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12609 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12610 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
root 12779 0.0 0.0 112660 960 pts/0 S+ 10:26 0:00 grep --color=auto apache
Respuestas:
Desde el registro de cambios para v 1.4.4 :
Para utilizar la lista blanca, use lo siguiente
p.ej
fuente
El concepto de segmentos de memoria compartida se explica en: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Como su nombre indica, un segmento de memoria compartida es un segmento de memoria que puede ser compartido por múltiples procesos. El proceso del servidor web Apache, que es el archivo: / usr / sbin / httpd usa memoria compartida. Utiliza memoria compartida para compartir datos entre los trabajadores del servidor Apache. Esto se explica en: caché de objetos compartidos en el servidor HTTP Apache
Acceder a la memoria compartida es un riesgo de seguridad porque permite que un proceso lea y modifique potencialmente la memoria utilizada por otro proceso. Solo los procesos de confianza deben tener acceso a la memoria compartida. El escaneo de seguridad de Rkhunter es un poco estricto ya que considera que el proceso confiable / usr / sbin / httpd es sospechoso.
Esta advertencia se puede ignorar de manera segura como se sugiere en el foro de Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-server .
Para ignorar la advertencia, la ruta al proceso que está accediendo a la Segmentación de memoria compartida, debe agregarse a la opción ALLOWIPCPROC en el archivo de configuración rkhunter.conf. La ruta al proceso en este caso es: / usr / sbin / httpd .
El archivo rkhunter.conf contiene la siguiente documentación sobre la opción ALLOWIPCPROC :
fuente
Después de detener el httpd, la advertencia desaparece (como se esperaba). Después de iniciar el httpd, la advertencia vuelve a aparecer (¡con el mismo PID!). Lo había intentado varias veces (cada caso con el mismo resultado).
Pero : después de reiniciar el servidor, la advertencia se ha ido. He estado jugando con el servidor (inicio de sesión en GroupOffice, reiniciando httpd, etc.) y parece que la advertencia se ha ido de forma persistente (con suerte). Sin embargo, observaré esto en los próximos días ...
No tengo idea de lo que significa la advertencia "Segmentos sospechosos de memoria compartida" y cómo puedo averiguar si esto es un falso positivo o no. Así que tampoco marcaré esta pregunta / respuesta como "respondida" ...
Gracias y saludos, Steffen
fuente