rkhunter:“可疑共享内存段”

13

我在这里有一台新安装的服务器,上面装有CentOS7,并在其上安装了GroupOffice。安装rkhunter并启动rkhunter检查后,我得到:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

有人知道“可疑共享内存段”是什么意思吗?我如何检查是否为假阳性?如果是这样的话:如何将这个错误列入白名单?

编辑

如果我尝试使用ps命令列出该进程,则该PID 1769的进程不存在:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache
linux  rkhunter 
斯特芬
source
这是“信息安全SE”的问题:security.stackexchange.com/questions/220302/…–
rubo77

Answers:

12

v 1.4.4变更日志中

添加了ALLOWIPCPROC配置文件选项。这可用于使用共享内存段(在“ ipc_shared_mem”检查期间找到)将可疑进程列入白名单。

因此,将以下内容列入白名单

ALLOWIPCPROC=path/to/service

例如

ALLOWIPCPROC=/usr/sbin/httpd
用户名
source
6
这并不能解释为什么Apache使用共享内存段,或者为什么可以安全地使用共享内存段。鼓励人们盲目地忽略警告不是很有帮助-即使这次是安全的,但下次可能不会这样做。
亚当·斯皮尔斯
8

共享内存段的概念在以下网址中进行了说明:http : //www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html。顾名思义,共享内存段是可以由多个进程共享的内存段。Apache Web服务器进程,即文件:/ usr / sbin / httpd使用共享内存。它使用共享内存以便在Apache服务器工作程序之间共享数据。对此进行了解释:Apache HTTP Server中的共享对象缓存

访问共享内存存在安全风险,因为它允许一个进程读取并可能修改另一个进程使用的内存。仅应允许受信任进程访问共享内存。Rkhunter安全扫描有点严格,因为它认为可信进程/ usr / sbin / httpd可疑。

可以按照Plesk论坛上的建议安全地忽略此警告:https : //support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk服务器

要忽略该警告,应将访问共享内存段的进程的路径添加到rkhunter.conf配置文件中的ALLOWIPCPROC选项。在这种情况下,该过程的路径为:/ usr / sbin / httpd

rkhunter.conf文件包含有关ALLOWIPCPROC选项的以下文档:

允许指定的进程路径名使用共享内存段。可以多次指定此选项,并且可以使用通配符。默认值为空字符串。

纳迪尔·拉蒂夫(Nadir Latif)
source
2
赞成,因为这比公认的答案更好,但是仍然不能解释为什么可以安全地忽略它。为什么Apache需要共享内存段?
亚当·斯皮尔斯
0

停止httpd后,警告消失了(如预期的那样)。启动httpd后,警告再次出现(具有相同的PID!)。我已经尝试了几次(每种情况都得到相同的结果)。

但是:重新启动服务器后,警告消失了。我一直在玩服务器(登录到GroupOffice,重新启动httpd等),并且该警告似乎一直存在(希望如此)。但是,我会在接下来的几天观察到这件事...

我不知道“可疑共享内存段”警告的含义以及如何确定这是否为误报。因此,我也不会将此问题/答案标记为“已回答” ...

感谢和问候,斯特芬

斯特芬
source
您吓跑了他们;)
IlliakaillI
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.