rkhunter:“ เซ็กเมนต์หน่วยความจำที่แชร์ที่น่าสงสัย”

ฉันมีเซิร์ฟเวอร์ที่ติดตั้งใหม่พร้อม CentOS7 และการติดตั้ง GroupOffice ที่นี่ หลังจากติดตั้ง rkhunter และเริ่มตรวจสอบ rkhunter ฉันจะได้รับ:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

ใครรู้ว่า "กลุ่มความจำที่น่าสงสัยที่ใช้ร่วมกัน" หมายถึงอะไร? ฉันจะตรวจสอบว่าสิ่งนี้เป็นสิ่งที่ผิดพลาดได้อย่างไร และถ้าเป็นเช่นนั้น: ฉันจะแสดงรายการข้อผิดพลาดนี้ได้อย่างไร

แก้ไข

หากฉันพยายามแสดงรายการกระบวนการด้วยคำสั่ง ps กระบวนการที่มี PID 1769 ไม่มีอยู่:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

จากการเปลี่ยนแปลงสำหรับ v 1.4.4 :

เพิ่มตัวเลือกไฟล์กำหนดค่า ALLOWIPCPROC สามารถใช้เพื่ออนุญาตรายการที่น่าสงสัยโดยใช้กลุ่มหน่วยความจำที่ใช้ร่วมกัน (พบได้ในระหว่างการตรวจสอบ 'ipc_shared_mem')

ดังนั้นในรายการที่อนุญาตใช้ต่อไปนี้

ALLOWIPCPROC=path/to/service

เช่น

ALLOWIPCPROC=/usr/sbin/httpd

แนวคิดของหน่วยความจำที่ใช้ร่วมกันกลุ่มจะมีการอธิบายเมื่อ: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html ตามชื่อที่แนะนำเซ็กเมนต์หน่วยความจำที่แบ่งใช้เป็นเซ็กเมนต์หน่วยความจำที่สามารถแบ่งใช้โดยหลายกระบวนการ กระบวนการเว็บเซิร์ฟเวอร์ Apache ซึ่งเป็นไฟล์: / usr / sbin / httpdใช้หน่วยความจำที่ใช้ร่วมกัน จะใช้หน่วยความจำที่ใช้ร่วมกันเพื่อแบ่งปันข้อมูลข้ามพนักงานเซิร์ฟเวอร์ Apache สิ่งนี้อธิบายไว้ใน: แคชวัตถุที่ใช้ร่วมกันใน Apache HTTP Server

การเข้าถึงหน่วยความจำที่ใช้ร่วมกันเป็นความเสี่ยงด้านความปลอดภัยเนื่องจากจะช่วยให้กระบวนการอ่านและแก้ไขหน่วยความจำที่ใช้โดยกระบวนการอื่น กระบวนการที่เชื่อถือได้เท่านั้นที่ควรได้รับอนุญาตให้เข้าถึงหน่วยความจำที่ใช้ร่วมกัน การสแกนความปลอดภัยของ Rkhunter นั้นค่อนข้างเข้มงวดเนื่องจากเป็นกระบวนการที่น่าเชื่อถือ/ usr / sbin / httpdที่น่าสงสัย

คำเตือนนี้สามารถละเว้นได้อย่างปลอดภัยตามที่แนะนำในฟอรัม Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ign-safely -Plesk

หากต้องการละเว้นคำเตือนพา ธ ไปยังกระบวนการที่เข้าถึง Shared Memory Segement ควรเพิ่มไว้ในตัวเลือกALLOWIPCPROCในไฟล์กำหนดค่า rkhunter.conf เส้นทางไปยังกระบวนการในกรณีนี้คือ: / usr / sbin / httpd

ไฟล์ rkhunter.conf มีเอกสารประกอบต่อไปนี้บนตัวเลือกALLOWIPCPROC :

อนุญาตให้ชื่อพา ธ ของกระบวนการที่ระบุใช้เซ็กเมนต์หน่วยความจำที่แชร์ ตัวเลือกนี้อาจระบุได้มากกว่าหนึ่งครั้งและอาจใช้อักขระตัวแทน ค่าเริ่มต้นคือสตริง null

หลังจากหยุด httpd คำเตือนจะหายไป (เหมือนที่คาดไว้) หลังจากเริ่มต้น httpd คำเตือนจะมีอีกครั้ง (ด้วย PID เดียวกัน) ฉันลองมาหลายครั้งแล้ว (ทุกกรณีมีผลลัพธ์เหมือนกัน)

แต่ : หลังจากรีบูตเซิร์ฟเวอร์คำเตือนจะหายไป ฉันได้เล่นกับเซิร์ฟเวอร์ (เข้าสู่ GroupOffice รีสตาร์ท httpd และอื่น ๆ ) และดูเหมือนว่าคำเตือนจะหายไปเรื่อย ๆ (หวังว่า) อย่างไรก็ตามฉันจะสังเกตสิ่งนี้ในวันต่อไป ...

ฉันไม่รู้ว่าคำเตือน "กลุ่มที่แชร์หน่วยความจำที่น่าสงสัย" นั้นมีความหมายอย่างไรและฉันจะทราบได้อย่างไรว่านี่เป็นผลบวกที่ผิดหรือไม่ ดังนั้นฉันจะไม่ทำเครื่องหมายคำถาม / คำตอบนี้เป็น "ตอบ" ...

ขอขอบคุณและขอแสดงความนับถือสเตฟเฟน