rkhunter: "Segmen Memori Bersama Mencurigakan"


13

Di sini saya memiliki server diinstal baru dengan CentOS7 dan instalasi GroupOffice di atasnya. Setelah menginstal rkhunter dan memulai pemeriksaan rkhunter saya mendapatkan:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

Adakah yang tahu arti dari "Segmen Memori yang Mencurigakan" artinya? Bagaimana saya bisa mengecek apakah ini false positive? Dan jika demikian: Bagaimana saya bisa membuat daftar putih kesalahan ini?

EDIT

Jika saya mencoba mendaftar proses dengan perintah ps proses dengan PID 1769 tidak ada:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

Ini adalah pertanyaan untuk "Keamanan Informasi SE": security.stackexchange.com/questions/220302/…
rubo77

Jawaban:


12

Dari changelog untuk v 1.4.4 :

Menambahkan opsi file konfigurasi ALLOWIPCPROC. Ini dapat digunakan untuk membuat daftar putih proses mencurigakan menggunakan segmen memori bersama (ditemukan selama pemeriksaan 'ipc_shared_mem').

Jadi untuk daftar putih gunakan yang berikut ini

ALLOWIPCPROC=path/to/service

misalnya

ALLOWIPCPROC=/usr/sbin/httpd

6
Ini tidak menjelaskan mengapa Apache menggunakan segmen memori bersama, atau mengapa aman untuk mengizinkannya. Mendorong orang untuk mengabaikan peringatan secara membabi-buta tidak terlalu membantu - bahkan jika kali ini aman, itu mungkin bukan kali berikutnya mereka melakukannya.
Adam Spires

8

Konsep Segmen Memori Bersama dijelaskan di: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Seperti namanya, Segmen Memori Bersama adalah segmen memori yang dapat dibagi oleh banyak proses. Proses server web Apache, yang merupakan file: / usr / sbin / httpd menggunakan memori bersama. Ini menggunakan memori bersama untuk berbagi data di seluruh pekerja server Apache. Ini dijelaskan pada: Cache Obyek Bersama di Apache HTTP Server

Mengakses memori bersama adalah risiko keamanan karena memungkinkan proses membaca dan berpotensi mengubah memori yang digunakan oleh proses lain. Hanya proses tepercaya yang diizinkan untuk mengakses memori bersama. Pemindaian keamanan Rkhunter agak ketat karena menganggap proses tepercaya / usr / sbin / httpd sebagai mencurigakan.

Peringatan ini dapat diabaikan dengan aman seperti yang disarankan di forum Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-Apa-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-server .

Untuk mengabaikan peringatan, jalur ke proses yang mengakses Segmen Memori Bersama, harus ditambahkan ke opsi ALLOWIPCPROC dalam file konfigurasi rkhunter.conf. Path ke proses dalam kasus ini adalah: / usr / sbin / httpd .

File rkhunter.conf berisi dokumentasi berikut pada opsi ALLOWIPCPROC :

Izinkan nama jalur proses yang ditentukan menggunakan segmen memori bersama. Opsi ini dapat ditentukan lebih dari sekali, dan dapat menggunakan karakter wildcard. Nilai default adalah string nol.


2
Putus asa karena ini lebih baik daripada jawaban yang diterima, tetapi masih belum menjelaskan mengapa aman untuk diabaikan. Mengapa Apache membutuhkan segmen memori bersama?
Adam Spires

0

Setelah menghentikan httpd, peringatan hilang (seperti yang diharapkan). Setelah memulai httpd peringatan itu ada lagi (dengan PID yang sama!). Saya telah mencoba ini beberapa kali (setiap kasus dengan hasil yang sama).

Tetapi : Setelah me-reboot server, peringatan itu hilang. Saya telah bermain-main dengan server (login ke GroupOffice, restart httpd dan sebagainya) dan tampaknya peringatan itu hilang secara terus-menerus (semoga). Namun, saya akan mengamati hal ini di hari-hari berikutnya ...

Saya tidak tahu apa arti peringatan "Segmen Memori yang Mencurigai" dan bagaimana saya bisa mengetahui apakah ini positif palsu atau tidak. Jadi saya juga tidak akan menandai pertanyaan / jawaban ini sebagai "dijawab" ...

Terima kasih dan salam, Steffen


Anda menakuti mereka;)
IlliakaillI
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.