Ich habe hier einen neu installierten Server mit CentOS7 und eine GroupOffice-Installation darauf. Nach der Installation von rkhunter und dem Starten eines rkhunter-Checks erhalte ich:
[09:58:15] Suspicious Shared Memory segments
[09:58:15] Process: PID: 1769 Owner: apache [ Found ]
[09:58:15] Suspicious Shared Memory segments [ Warning ]
Weiß jemand, was die "Suspicious Shared Memory-Segmente" bedeuten? Wie kann ich überprüfen, ob dies falsch positiv ist? Und wenn ja: Wie kann ich diesen Fehler auf die weiße Liste setzen?
BEARBEITEN
Wenn ich versuche, den Prozess mit dem Befehl ps aufzulisten, ist der Prozess mit der PID 1769 nicht vorhanden:
# ps -p 1769
PID TTY TIME CMD
# ps aux | grep 1769
root 12777 0.0 0.0 112660 960 pts/0 S+ 10:25 0:00 grep --color=auto 1769
# ps aux | grep apache
apache 12606 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12607 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12608 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12609 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12610 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
root 12779 0.0 0.0 112660 960 pts/0 S+ 10:26 0:00 grep --color=auto apache
Antworten:
Aus dem Changelog für v 1.4.4 :
Verwenden Sie für die Whitelist Folgendes
z.B
quelle
Das Konzept der Shared Memory-Segmente wird unter folgender Adresse erläutert: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Wie der Name schon sagt, ist ein gemeinsam genutztes Speichersegment ein Speichersegment, das von mehreren Prozessen gemeinsam genutzt werden kann. Der Apache-Webserverprozess, bei dem es sich um die Datei / usr / sbin / httpd handelt, verwendet gemeinsam genutzten Speicher. Es verwendet gemeinsam genutzten Speicher, um Daten für die Apache-Server-Worker freizugeben. Dies wird erläutert unter: Cache für gemeinsam genutzte Objekte in Apache HTTP Server
Der Zugriff auf den gemeinsam genutzten Speicher stellt ein Sicherheitsrisiko dar, da ein Prozess den von einem anderen Prozess verwendeten Speicher lesen und möglicherweise ändern kann. Nur vertrauenswürdige Prozesse sollten auf den gemeinsam genutzten Speicher zugreifen dürfen. Das Scannen der Rkhunter-Sicherheit ist etwas streng, da der vertrauenswürdige Prozess / usr / sbin / httpd als verdächtig eingestuft wird.
Diese Warnung kann ignoriert werden, wie im Plesk-Forum vorgeschlagen: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-Server .
Um die Warnung zu ignorieren, sollte der Pfad zu dem Prozess, der auf das Shared Memory-Segment zugreift, zur Option ALLOWIPCPROC in der Konfigurationsdatei rkhunter.conf hinzugefügt werden. Der Pfad zum Prozess lautet in diesem Fall: / usr / sbin / httpd .
Die Datei rkhunter.conf enthält die folgende Dokumentation zur Option ALLOWIPCPROC :
quelle
Nach dem Stoppen des httpd ist die Warnung verschwunden (wie erwartet). Nach dem Starten des httpd ist die Warnung wieder da (mit der gleichen PID!). Ich hatte es mehrmals versucht (jeder Fall mit dem gleichen Ergebnis).
Aber : Nach dem Neustart des Servers ist die Warnung weg. Ich habe mit dem Server herumgespielt (bei GroupOffice anmelden, httpd neu starten usw.) und es scheint, dass die Warnung dauerhaft (hoffentlich) weg ist. Ich werde dieses Ding jedoch in den nächsten Tagen beobachten ...
Ich habe keine Ahnung, was die Warnung "Suspicious Shared Memory-Segmente" bedeutet und wie ich herausfinden kann, ob dies falsch positiv ist oder nicht. Daher werde ich diese Frage / Antwort auch nicht als "beantwortet" markieren ...
Danke und Grüße, Steffen
quelle