rkhunter: phân khúc bộ nhớ chia sẻ đáng ngờ

Tôi có ở đây một máy chủ được cài đặt mới với CentOS7 và cài đặt GroupScript trên đó. Sau khi cài đặt rkhunter và bắt đầu kiểm tra rkhunter, tôi nhận được:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

Bất cứ ai cũng biết "phân đoạn bộ nhớ chia sẻ đáng ngờ" nghĩa là gì? Làm thế nào tôi có thể kiểm tra nếu đây là một dương tính giả? Và nếu vậy: Làm thế nào tôi có thể liệt kê lỗi này?

BIÊN TẬP

Nếu tôi cố gắng liệt kê quy trình với lệnh ps thì quy trình với PID 1769 không có ở đó:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

Từ thay đổi cho v 1.4.4 :

Đã thêm tùy chọn tệp cấu hình ALLOWIPCPROC. Điều này có thể được sử dụng để liệt kê các quy trình đáng ngờ bằng cách sử dụng các phân đoạn bộ nhớ dùng chung (được tìm thấy trong quá trình kiểm tra 'ipc_spl_mem').

Vì vậy, để danh sách trắng sử dụng như sau

ALLOWIPCPROC=path/to/service

ví dụ

ALLOWIPCPROC=/usr/sbin/httpd

Khái niệm về Phân đoạn bộ nhớ được chia sẻ được giải thích trên: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/ process / shm / what-is-shm.html . Như tên cho thấy, Phân đoạn bộ nhớ dùng chung là phân đoạn bộ nhớ có thể được chia sẻ bởi nhiều quy trình. Quá trình máy chủ web Apache, là tệp: / usr / sbin / httpd sử dụng bộ nhớ dùng chung. Nó sử dụng bộ nhớ dùng chung để chia sẻ dữ liệu trên các nhân viên máy chủ Apache. Điều này được giải thích trên: Cache đối tượng được chia sẻ trong Máy chủ HTTP Apache

Truy cập bộ nhớ dùng chung là một rủi ro bảo mật vì nó cho phép một quá trình đọc và có khả năng sửa đổi bộ nhớ được sử dụng bởi một quy trình khác. Chỉ các quy trình đáng tin cậy mới được phép truy cập vào bộ nhớ dùng chung. Quét bảo mật Rkhunter hơi nghiêm ngặt vì nó coi quy trình đáng tin cậy / usr / sbin / httpd là đáng ngờ.

Cảnh báo này có thể được bỏ qua một cách an toàn như được đề xuất trên diễn đàn Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-máy chủ .

Để bỏ qua cảnh báo, đường dẫn đến quy trình đang truy cập Phân đoạn bộ nhớ dùng chung, nên được thêm vào tùy chọn ALLOWIPCPROC trong tệp cấu hình rkhunter.conf. Đường dẫn đến quy trình trong trường hợp này là: / usr / sbin / httpd .

Tệp rkhunter.conf chứa tài liệu sau về tùy chọn ALLOWIPCPROC :

Cho phép tên đường dẫn quy trình được chỉ định sử dụng các phân đoạn bộ nhớ dùng chung. Tùy chọn này có thể được chỉ định nhiều lần và có thể sử dụng các ký tự đại diện. Giá trị mặc định là chuỗi null.

Sau khi dừng httpd, cảnh báo không còn nữa (như mong đợi). Sau khi bắt đầu httpd, cảnh báo sẽ xuất hiện trở lại (với cùng một PID!). Tôi đã thử điều này nhiều lần (mọi trường hợp đều có kết quả như nhau).

Nhưng : Sau khi khởi động lại máy chủ, cảnh báo không còn nữa. Tôi đã chơi xung quanh với máy chủ (đăng nhập vào GroupOffice, khởi động lại httpd, v.v.) và có vẻ như cảnh báo không còn nữa (hy vọng). Tuy nhiên, tôi sẽ quan sát thứ này trong những ngày tiếp theo ...

Tôi không biết cảnh báo "Phân đoạn bộ nhớ chia sẻ đáng ngờ" nghĩa là gì và làm thế nào tôi có thể biết liệu đây có phải là dương tính giả hay không. Vì vậy, tôi cũng sẽ không đánh dấu câu hỏi / câu trả lời này là "đã trả lời" ...

Cảm ơn và trân trọng, Steffen