rkhunter: “Segmentos Suspeitos de Memória Compartilhada”

7

Eu tenho aqui um novo servidor instalado com o CentOS7 e uma instalação do GroupOffice nele. Depois de instalar o rkhunter e iniciar um cheque de rkhunter, recebo:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

Alguém sabe o que significa "Segmentos de memória compartilhada suspeita"? Como posso verificar se isso é um falso positivo? E em caso afirmativo: como posso listar esse erro em branco?

EDITAR

Se eu tentar listar o processo com o comando ps, o processo com o PID 1769 não está lá:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache
    
por Steffen 10.06.2015 / 10:07

3 respostas

10

Do registro de alterações da versão 1.4.4 :

Added the ALLOWIPCPROC configuration file option. This can be used to whitelist suspicious processes using shared memory segments (found during the 'ipc_shared_mem' check).

Então, para whitelist use o seguinte

ALLOWIPCPROC=path/to/service

por exemplo,

ALLOWIPCPROC=/usr/sbin/httpd
    
por 18.07.2017 / 14:14
3

O conceito de Segmentos de Memória Compartilhada é explicado em: link . Como o nome sugere, um Segmento de Memória Compartilhada é um segmento de memória que pode ser compartilhado por vários processos. O processo do servidor web Apache, que é o arquivo: / usr / sbin / httpd usa memória compartilhada.

O acesso à memória compartilhada é um risco de segurança, pois permite que um processo leia e potencialmente modifique a memória usada por outro processo. Somente processos confiáveis devem ter permissão para acessar a memória compartilhada. A varredura de segurança do Rkhunter é um pouco restrita, já que o processo confiável / usr / sbin / httpd é suspeito.

Esse aviso pode ser ignorado com segurança, conforme sugerido no fórum do Plesk: .

Para ignorar o aviso, o caminho para o processo que está acessando o Segmento de Memória Compartilhada deve ser adicionado à opção ALLOWIPCPROC no arquivo de configuração rkhunter.conf. O caminho para o processo, neste caso, é: / usr / sbin / httpd .

O arquivo rkhunter.conf contém a seguinte documentação na opção ALLOWIPCPROC :

Allow the specified process pathnames to use shared memory segments. This option may be specified more than once, and may use wildcard characters. The default value is the null string.

    
por 26.10.2018 / 06:26
0

Depois de parar o httpd, o aviso desapareceu (como esperado). Depois de iniciar o httpd, o aviso está lá novamente (com o mesmo PID!). Eu tentei isso várias vezes (cada caso com o mesmo resultado).

Mas : Após a reinicialização do servidor, o aviso desaparece. Eu tenho que brincar com o servidor (faça o login no GroupOffice, reinicie o httpd e assim por diante) e parece que o aviso se foi persistentemente (esperançosamente). No entanto, vou observar isso nos próximos dias ...

Não tenho ideia do que significa o aviso "Segmentos de memória compartilhada suspeita" e como posso descobrir se isso é um falso positivo ou não. Então eu também não marcarei esta pergunta / resposta como "respondida" ...

Obrigado e cumprimentos, Steffen

    
por 10.06.2015 / 11:14