Eu tenho aqui um novo servidor instalado com o CentOS7 e uma instalação do GroupOffice nele. Depois de instalar o rkhunter e iniciar um cheque de rkhunter, recebo:
[09:58:15] Suspicious Shared Memory segments
[09:58:15] Process: PID: 1769 Owner: apache [ Found ]
[09:58:15] Suspicious Shared Memory segments [ Warning ]
Alguém sabe o que significa "Segmentos de memória compartilhada suspeita"? Como posso verificar se isso é um falso positivo? E em caso afirmativo: como posso listar esse erro em branco?
EDITAR
Se eu tentar listar o processo com o comando ps, o processo com o PID 1769 não está lá:
# ps -p 1769
PID TTY TIME CMD
# ps aux | grep 1769
root 12777 0.0 0.0 112660 960 pts/0 S+ 10:25 0:00 grep --color=auto 1769
# ps aux | grep apache
apache 12606 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12607 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12608 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12609 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12610 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
root 12779 0.0 0.0 112660 960 pts/0 S+ 10:26 0:00 grep --color=auto apache
Do registro de alterações da versão 1.4.4 :
Added the ALLOWIPCPROC configuration file option. This can be used to whitelist suspicious processes using shared memory segments (found during the 'ipc_shared_mem' check).
Então, para whitelist use o seguinte
ALLOWIPCPROC=path/to/service
por exemplo,
ALLOWIPCPROC=/usr/sbin/httpd
O conceito de Segmentos de Memória Compartilhada é explicado em: link . Como o nome sugere, um Segmento de Memória Compartilhada é um segmento de memória que pode ser compartilhado por vários processos. O processo do servidor web Apache, que é o arquivo: / usr / sbin / httpd usa memória compartilhada.
O acesso à memória compartilhada é um risco de segurança, pois permite que um processo leia e potencialmente modifique a memória usada por outro processo. Somente processos confiáveis devem ter permissão para acessar a memória compartilhada. A varredura de segurança do Rkhunter é um pouco restrita, já que o processo confiável / usr / sbin / httpd é suspeito.
Esse aviso pode ser ignorado com segurança, conforme sugerido no fórum do Plesk: .
Para ignorar o aviso, o caminho para o processo que está acessando o Segmento de Memória Compartilhada deve ser adicionado à opção ALLOWIPCPROC no arquivo de configuração rkhunter.conf. O caminho para o processo, neste caso, é: / usr / sbin / httpd .
O arquivo rkhunter.conf contém a seguinte documentação na opção ALLOWIPCPROC :
Allow the specified process pathnames to use shared memory segments. This option may be specified more than once, and may use wildcard characters. The default value is the null string.
Depois de parar o httpd, o aviso desapareceu (como esperado). Depois de iniciar o httpd, o aviso está lá novamente (com o mesmo PID!). Eu tentei isso várias vezes (cada caso com o mesmo resultado).
Mas : Após a reinicialização do servidor, o aviso desaparece. Eu tenho que brincar com o servidor (faça o login no GroupOffice, reinicie o httpd e assim por diante) e parece que o aviso se foi persistentemente (esperançosamente). No entanto, vou observar isso nos próximos dias ...
Não tenho ideia do que significa o aviso "Segmentos de memória compartilhada suspeita" e como posso descobrir se isso é um falso positivo ou não. Então eu também não marcarei esta pergunta / resposta como "respondida" ...
Obrigado e cumprimentos, Steffen