J'ai ici un nouveau serveur installé avec CentOS7 et une installation GroupOffice dessus. Après avoir installé rkhunter et démarré une vérification rkhunter, j'obtiens:
[09:58:15] Suspicious Shared Memory segments
[09:58:15] Process: PID: 1769 Owner: apache [ Found ]
[09:58:15] Suspicious Shared Memory segments [ Warning ]
Quelqu'un sait ce que les «segments de mémoire partagée suspects» signifient? Comment puis-je vérifier s'il s'agit d'un faux positif? Et si oui: comment puis-je inscrire cette erreur sur la liste blanche?
ÉDITER
Si j'essaie de lister le processus avec la commande ps, le processus avec le PID 1769 n'est pas là:
# ps -p 1769
PID TTY TIME CMD
# ps aux | grep 1769
root 12777 0.0 0.0 112660 960 pts/0 S+ 10:25 0:00 grep --color=auto 1769
# ps aux | grep apache
apache 12606 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12607 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12608 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12609 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12610 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
root 12779 0.0 0.0 112660 960 pts/0 S+ 10:26 0:00 grep --color=auto apache
Réponses:
Depuis le journal des modifications de la version 1.4.4 :
Donc, pour mettre sur liste blanche, utilisez ce qui suit
par exemple
la source
Le concept de segments de mémoire partagée est expliquée sur: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Comme son nom l'indique, un segment de mémoire partagée est un segment de mémoire qui peut être partagé par plusieurs processus. Le processus du serveur Web Apache, qui est le fichier: / usr / sbin / httpd utilise la mémoire partagée. Il utilise la mémoire partagée afin de partager des données entre les travailleurs du serveur Apache. Ceci est expliqué sur: Cache d'objets partagés dans Apache HTTP Server
L'accès à la mémoire partagée est un risque pour la sécurité car il permet à un processus de lire et potentiellement de modifier la mémoire utilisée par un autre processus. Seuls les processus approuvés doivent être autorisés à accéder à la mémoire partagée. L'analyse de sécurité de Rkhunter est un peu stricte car elle considère le processus de confiance / usr / sbin / httpd comme suspect.
Cet avertissement peut être ignoré en toute sécurité, comme suggéré sur le forum Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-serveur .
Pour ignorer l'avertissement, le chemin d'accès au processus qui accède au segment de mémoire partagée doit être ajouté à l' option ALLOWIPCPROC dans le fichier de configuration rkhunter.conf. Le chemin d'accès au processus dans ce cas est: / usr / sbin / httpd .
Le fichier rkhunter.conf contient la documentation suivante sur l' option ALLOWIPCPROC :
la source
Après avoir arrêté le httpd, l'avertissement a disparu (comme prévu). Après avoir démarré le httpd, l'avertissement est de nouveau là (avec le même PID!). J'avais essayé cela plusieurs fois (chaque cas avec le même résultat).
Mais : après le redémarrage du serveur, l'avertissement a disparu. J'ai joué avec le serveur (connexion à GroupOffice, redémarrage de httpd et ainsi de suite) et il semble que l'avertissement ait disparu de façon persistante (espérons-le). Cependant, je vais observer cette chose dans les prochains jours ...
Je n'ai aucune idée de ce que signifie l'avertissement "Segments de mémoire partagée suspects" et comment je peux savoir s'il s'agit d'un faux positif ou non. Donc, je ne marquerai pas non plus cette question / réponse comme "répondue" ...
Merci et salutations, Steffen
la source