rkhunter: «Segments de mémoire partagée suspects»

13

J'ai ici un nouveau serveur installé avec CentOS7 et une installation GroupOffice dessus. Après avoir installé rkhunter et démarré une vérification rkhunter, j'obtiens:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

Quelqu'un sait ce que les «segments de mémoire partagée suspects» signifient? Comment puis-je vérifier s'il s'agit d'un faux positif? Et si oui: comment puis-je inscrire cette erreur sur la liste blanche?

ÉDITER

Si j'essaie de lister le processus avec la commande ps, le processus avec le PID 1769 n'est pas là:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache
linux  rkhunter 
Steffen
source
Il s'agit d'une question pour "Information Security SE": security.stackexchange.com/questions/220302/…
rubo77

Réponses:

12

Depuis le journal des modifications de la version 1.4.4 :

Ajout de l'option de fichier de configuration ALLOWIPCPROC. Cela peut être utilisé pour mettre en liste blanche les processus suspects utilisant des segments de mémoire partagée (trouvés lors de la vérification 'ipc_shared_mem').

Donc, pour mettre sur liste blanche, utilisez ce qui suit

ALLOWIPCPROC=path/to/service

par exemple

ALLOWIPCPROC=/usr/sbin/httpd
user425741
source
6
Cela n'explique pas pourquoi Apache utilise des segments de mémoire partagée, ni pourquoi il est sûr de permettre cela. Encourager les gens à ignorer aveuglément les avertissements n'est pas très utile - même si c'est sûr cette fois-ci, ce ne sera peut-être pas la prochaine fois qu'ils le feront.
Adam Spires
8

Le concept de segments de mémoire partagée est expliquée sur: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Comme son nom l'indique, un segment de mémoire partagée est un segment de mémoire qui peut être partagé par plusieurs processus. Le processus du serveur Web Apache, qui est le fichier: / usr / sbin / httpd utilise la mémoire partagée. Il utilise la mémoire partagée afin de partager des données entre les travailleurs du serveur Apache. Ceci est expliqué sur: Cache d'objets partagés dans Apache HTTP Server

L'accès à la mémoire partagée est un risque pour la sécurité car il permet à un processus de lire et potentiellement de modifier la mémoire utilisée par un autre processus. Seuls les processus approuvés doivent être autorisés à accéder à la mémoire partagée. L'analyse de sécurité de Rkhunter est un peu stricte car elle considère le processus de confiance / usr / sbin / httpd comme suspect.

Cet avertissement peut être ignoré en toute sécurité, comme suggéré sur le forum Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-serveur .

Pour ignorer l'avertissement, le chemin d'accès au processus qui accède au segment de mémoire partagée doit être ajouté à l' option ALLOWIPCPROC dans le fichier de configuration rkhunter.conf. Le chemin d'accès au processus dans ce cas est: / usr / sbin / httpd .

Le fichier rkhunter.conf contient la documentation suivante sur l' option ALLOWIPCPROC :

Autorisez les chemins d'accès de processus spécifiés à utiliser des segments de mémoire partagée. Cette option peut être spécifiée plusieurs fois et peut utiliser des caractères génériques. La valeur par défaut est la chaîne nulle.

Nadir Latif
source
2
Voter, car c'est mieux que la réponse acceptée, mais cela n'explique toujours pas pourquoi il est prudent d'ignorer. Pourquoi Apache a-t-il besoin de segments de mémoire partagée?
Adam Spires
0

Après avoir arrêté le httpd, l'avertissement a disparu (comme prévu). Après avoir démarré le httpd, l'avertissement est de nouveau là (avec le même PID!). J'avais essayé cela plusieurs fois (chaque cas avec le même résultat).

Mais : après le redémarrage du serveur, l'avertissement a disparu. J'ai joué avec le serveur (connexion à GroupOffice, redémarrage de httpd et ainsi de suite) et il semble que l'avertissement ait disparu de façon persistante (espérons-le). Cependant, je vais observer cette chose dans les prochains jours ...

Je n'ai aucune idée de ce que signifie l'avertissement "Segments de mémoire partagée suspects" et comment je peux savoir s'il s'agit d'un faux positif ou non. Donc, je ne marquerai pas non plus cette question / réponse comme "répondue" ...

Merci et salutations, Steffen

Steffen
source
Vous les avez effrayés;)
IlliakaillI
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.