У меня есть новый установленный сервер с CentOS7 и установленной на нем GroupOffice. После установки rkhunter и запуска проверки rkhunter я получаю:
[09:58:15] Suspicious Shared Memory segments
[09:58:15] Process: PID: 1769 Owner: apache [ Found ]
[09:58:15] Suspicious Shared Memory segments [ Warning ]
Кто-нибудь знает, что означают «Подозрительные сегменты общей памяти»? Как я могу проверить, ложно ли это? И если да: как я могу внести эту ошибку в белый список?
РЕДАКТИРОВАТЬ
Если я попытаюсь перечислить процесс с помощью команды ps, процесса с PID 1769 не будет:
# ps -p 1769
PID TTY TIME CMD
# ps aux | grep 1769
root 12777 0.0 0.0 112660 960 pts/0 S+ 10:25 0:00 grep --color=auto 1769
# ps aux | grep apache
apache 12606 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12607 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12608 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12609 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12610 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
root 12779 0.0 0.0 112660 960 pts/0 S+ 10:26 0:00 grep --color=auto apache
Из журнал изменений для версии 1.4.4:
Добавлен параметр файла конфигурации ALLOWIPCPROC. Это можно использовать для внесения в белый список подозрительных процессов с использованием сегментов разделяемой памяти (обнаруженных во время проверки ipc_shared_mem).
Итак, чтобы внести в белый список, используйте следующие
ALLOWIPCPROC=path/to/service
например
ALLOWIPCPROC=/usr/sbin/httpd
Концепция сегментов общей памяти объясняется на: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html. Как следует из названия, сегмент общей памяти - это сегмент памяти, который может использоваться несколькими процессами. Процесс веб-сервера Apache, представляющий собой файл: / usr / sbin / httpd использует разделяемую память. Он использует разделяемую память для обмена данными между работниками сервера Apache. Это объясняется на: Общий кэш объектов на HTTP-сервере Apache
Доступ к общей памяти представляет собой угрозу безопасности, поскольку позволяет процессу читать и потенциально изменять память, используемую другим процессом. Только доверенные процессы должны иметь доступ к общей памяти. Сканирование безопасности Rkhunter немного строгое, поскольку оно касается доверенного процесса. / usr / sbin / httpd как подозрительно.
Это предупреждение можно проигнорировать, как это предлагается на форуме Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a-Plesk-server.
Чтобы игнорировать предупреждение, путь к процессу, который обращается к сегменту общей памяти, должен быть добавлен в ALLOWIPCPROC в конфигурационном файле rkhunter.conf. Путь к процессу в этом случае: / usr / sbin / httpd.
Файл rkhunter.conf содержит следующую документацию по ALLOWIPCPROC вариант:
Разрешить указанным путям процессов использовать сегменты разделяемой памяти. Эта опция может быть указана более одного раза и может использовать подстановочные знаки. Значение по умолчанию - пустая строка.
После остановки httpd предупреждение исчезло (как и ожидалось). После запуска httpd снова появляется предупреждение (с тем же PID!). Я пробовал это несколько раз (каждый раз с одним и тем же результатом).
Но: После перезагрузки сервера предупреждение исчезло. Я играю с сервером (вход в GroupOffice, перезапуск httpd и т. Д.), И кажется, что предупреждение постоянно исчезает (надеюсь). Впрочем, я буду наблюдать это в ближайшие дни ...
Я понятия не имею, что означает предупреждение «Подозрительные сегменты общей памяти» и как я могу определить, является ли это ложным срабатыванием или нет. Так что я также не буду отмечать этот вопрос / ответ как «отвеченный» ...
Спасибо и привет, Штеффен