Eu tenho aqui um novo servidor instalado com o CentOS7 e uma instalação do GroupOffice. Após instalar o rkhunter e iniciar uma verificação do rkhunter, recebo:
[09:58:15] Suspicious Shared Memory segments
[09:58:15] Process: PID: 1769 Owner: apache [ Found ]
[09:58:15] Suspicious Shared Memory segments [ Warning ]
Alguém sabe o que significa "segmentos de memória compartilhada suspeita"? Como posso verificar se isso é um falso positivo? E se sim: Como posso listar esse erro na lista branca?
EDITAR
Se eu tentar listar o processo com o comando ps, o processo com o PID 1769 não está lá:
# ps -p 1769
PID TTY TIME CMD
# ps aux | grep 1769
root 12777 0.0 0.0 112660 960 pts/0 S+ 10:25 0:00 grep --color=auto 1769
# ps aux | grep apache
apache 12606 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12607 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12608 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12609 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12610 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
root 12779 0.0 0.0 112660 960 pts/0 S+ 10:26 0:00 grep --color=auto apache
Respostas:
No changelog para v 1.4.4 :
Portanto, para colocar na lista de permissões use o seguinte
por exemplo
fonte
O conceito de segmentos de memória compartilhada é explicado em: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Como o nome sugere, um segmento de memória compartilhada é um segmento de memória que pode ser compartilhado por vários processos. O processo do servidor da web Apache, que é o arquivo: / usr / sbin / httpd, usa memória compartilhada. Ele usa memória compartilhada para compartilhar dados entre os trabalhadores do servidor Apache. Isso é explicado em: Cache de Objeto Compartilhado no Servidor HTTP Apache
O acesso à memória compartilhada é um risco à segurança, pois permite que um processo leia e potencialmente modifique a memória usada por outro processo. Somente processos confiáveis devem ter permissão para acessar a memória compartilhada. A verificação de segurança do Rkhunter é um pouco rigorosa, pois considera o processo confiável / usr / sbin / httpd como suspeito.
Esse aviso pode ser ignorado com segurança, conforme sugerido no fórum Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-server .
Para ignorar o aviso, o caminho para o processo que está acessando o segmento de memória compartilhada deve ser adicionado à opção ALLOWIPCPROC no arquivo de configuração rkhunter.conf. O caminho para o processo neste caso é: / usr / sbin / httpd .
O arquivo rkhunter.conf contém a seguinte documentação na opção ALLOWIPCPROC :
fonte
Depois de parar o httpd, o aviso desapareceu (como esperado). Depois de iniciar o httpd, o aviso volta a aparecer (com o mesmo PID!). Eu tentei isso várias vezes (todos os casos com o mesmo resultado).
Mas : Depois de reiniciar o servidor, o aviso desapareceu. Eu brinco com o servidor (faça login no GroupOffice, reinicie o httpd e assim por diante) e parece que o aviso foi embora persistentemente (espero). No entanto, observarei isso nos próximos dias ...
Não faço ideia do significado do aviso "Segmentos de memória compartilhada suspeita" e como posso descobrir se esse é um falso positivo ou não. Portanto, também não marcarei esta pergunta / resposta como "respondida" ...
Obrigado e cumprimentos, Steffen
fonte