rkhunter: "Segmenti di memoria condivisa sospetti"

13

Ho qui un nuovo server installato con CentOS7 e un'installazione GroupOffice su di esso. Dopo aver installato rkhunter e aver avviato un controllo rkhunter ottengo:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

Qualcuno sa cosa significano i "segmenti di memoria condivisa sospetta"? Come posso verificare se si tratta di un falso positivo? E in tal caso: come posso inserire nella lista bianca questo errore?

MODIFICARE

Se provo ad elencare il processo con il comando ps, il processo con il PID 1769 non è presente:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache
linux  rkhunter 
Steffen
fonte
Questa è una domanda per "Information Security SE": security.stackexchange.com/questions/220302/…
rubo77

Risposte:

12

Dal changelog per v 1.4.4 :

Aggiunta l'opzione del file di configurazione ALLOWIPCPROC. Questo può essere usato per autorizzare i processi sospetti usando segmenti di memoria condivisa (trovati durante il controllo 'ipc_shared_mem').

Quindi per la whitelist usa quanto segue

ALLOWIPCPROC=path/to/service

per esempio

ALLOWIPCPROC=/usr/sbin/httpd
user425741
fonte
6
Questo non spiega perché Apache utilizza segmenti di memoria condivisa o perché è sicuro consentirlo. Incoraggiare le persone a ignorare ciecamente gli avvisi non è molto utile - anche se questa volta è sicuro, potrebbe non essere la prossima volta che lo fanno.
Adam Spires,
8

Il concetto di segmenti di memoria condivisa è spiegato su: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Come suggerisce il nome, un segmento di memoria condivisa è un segmento di memoria che può essere condiviso da più processi. Il processo del server Web Apache, che è il file: / usr / sbin / httpd utilizza la memoria condivisa. Utilizza la memoria condivisa per condividere i dati tra i lavoratori del server Apache. Questo è spiegato su: Cache oggetti condivisi nel server HTTP Apache

L'accesso alla memoria condivisa è un rischio per la sicurezza perché consente a un processo di leggere e potenzialmente modificare la memoria utilizzata da un altro processo. Solo i processi affidabili dovrebbero poter accedere alla memoria condivisa. La scansione di sicurezza di Rkhunter è un po 'severa poiché considera sospetto il processo attendibile / usr / sbin / httpd .

Questo avviso può essere tranquillamente ignorato come suggerito sul forum di Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-server .

Per ignorare l'avviso, il percorso del processo che sta accedendo al Segmento di memoria condivisa deve essere aggiunto all'opzione ALLOWIPCPROC nel file di configurazione rkhunter.conf. Il percorso del processo in questo caso è: / usr / sbin / httpd .

Il file rkhunter.conf contiene la seguente documentazione sull'opzione ALLOWIPCPROC :

Consentire ai percorsi di processo specificati di utilizzare segmenti di memoria condivisa. Questa opzione può essere specificata più di una volta e può utilizzare caratteri jolly. Il valore predefinito è la stringa nulla.

Nadir Latif
fonte
2
Il voto dato che è meglio della risposta accettata, ma non spiega ancora perché sia sicuro ignorarlo. Perché Apache necessita di segmenti di memoria condivisa?
Adam Spires
0

Dopo l'interruzione di httpd, l'avviso scompare (come previsto). Dopo aver avviato httpd, l'avviso viene nuovamente visualizzato (con lo stesso PID!). Ci avevo provato diverse volte (ogni caso con lo stesso risultato).

Ma : dopo aver riavviato il server l'avviso scompare. Ho a che fare con il server (accedi a GroupOffice, riavvia httpd e così via) e sembra che l'avvertimento sia andato persistentemente (si spera). Tuttavia, osserverò questa cosa nei prossimi giorni ...

Non ho idea di cosa significhi l'avvertenza "Segmenti di memoria condivisa sospetta" e come posso capire se si tratta di un falso positivo o meno. Quindi non segnerò questa domanda / risposta come "risposta" ...

Grazie e saluti, Steffen

Steffen
fonte
Li hai spaventati;)
IlliakaillI
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.