rkhunter: „Podejrzane segmenty pamięci wspólnej”

Mam tutaj nowy zainstalowany serwer z CentOS7 i instalacją GroupOffice na nim. Po zainstalowaniu rkhuntera i rozpoczęciu sprawdzania rkhuntera otrzymuję:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

Czy ktoś wie, co oznaczają „podejrzane segmenty pamięci wspólnej”? Jak mogę sprawdzić, czy jest to wynik fałszywie dodatni? A jeśli tak: jak mogę umieścić ten błąd na białej liście?

EDYTOWAĆ

Jeśli spróbuję wyświetlić proces za pomocą polecenia ps, proces z PID 1769 nie istnieje:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

Z dziennika zmian dla wersji 1.4.4 :

Dodano opcję pliku konfiguracyjnego ALLOWIPCPROC. Można tego użyć do dodania do białej listy podejrzanych procesów za pomocą segmentów pamięci współużytkowanej (znalezionych podczas sprawdzania „ipc_shared_mem”).

Aby dodać do białej listy, skorzystaj z poniższych

ALLOWIPCPROC=path/to/service

na przykład

ALLOWIPCPROC=/usr/sbin/httpd

Pojęcie segmentów pamięci dzielonej wyjaśniono na stronie : http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Jak sama nazwa wskazuje, segment pamięci współużytkowanej to segment pamięci, który może być współużytkowany przez wiele procesów. Proces serwera WWW Apache, którym jest plik: / usr / sbin / httpd, korzysta z pamięci współdzielonej. Wykorzystuje pamięć współdzieloną w celu udostępniania danych między pracownikami serwera Apache. Wyjaśnia to: Pamięć podręczna współdzielonych obiektów na serwerze HTTP Apache

Dostęp do pamięci współdzielonej stanowi zagrożenie bezpieczeństwa, ponieważ pozwala procesowi na odczyt i potencjalną modyfikację pamięci używanej przez inny proces. Tylko zaufane procesy powinny mieć dostęp do pamięci współdzielonej. Skanowanie bezpieczeństwa Rkhunter jest nieco surowe, ponieważ uważa zaufany proces / usr / sbin / httpd za podejrzany.

To ostrzeżenie można bezpiecznie zignorować, jak sugerowano na forum Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-server .

Aby zignorować ostrzeżenie, ścieżkę do procesu uzyskującego dostęp do segmentu pamięci współużytkowanej należy dodać do opcji ALLOWIPCPROC w pliku konfiguracyjnym rkhunter.conf. Ścieżka do procesu w tym przypadku to: / usr / sbin / httpd .

Plik rkhunter.conf zawiera następującą dokumentację dotyczącą opcji ALLOWIPCPROC :

Zezwól określonym ścieżkom procesu na używanie segmentów pamięci współużytkowanej. Ta opcja może być podana więcej niż jeden raz i może używać znaków wieloznacznych. Wartość domyślna to ciąg zerowy.

Po zatrzymaniu httpd ostrzeżenie zniknęło (zgodnie z oczekiwaniami). Po uruchomieniu httpd ostrzeżenie pojawia się ponownie (z tym samym PID!). Próbowałem tego kilka razy (każdy przypadek z takim samym skutkiem).

Ale : Po ponownym uruchomieniu serwera ostrzeżenie zniknęło. Bawię się z serwerem (logowanie do GroupOffice, restartowanie httpd i tak dalej) i wygląda na to, że ostrzeżenie zniknęło (mam nadzieję). Będę jednak obserwował to w najbliższych dniach ...

Nie mam pojęcia, co oznacza ostrzeżenie „Podejrzane segmenty pamięci współużytkowanej” i jak mogę dowiedzieć się, czy jest to wynik fałszywie dodatni, czy nie. Dlatego też nie oznaczę tego pytania / odpowiedzi jako „odpowiedzi” ...

Dzięki i pozdrawiam, Steffen