rkhunter:「不審な共有メモリセグメント」

13

CentOS7とGroupOfficeがインストールされたサーバーが新しくインストールされました。rkhunterをインストールしてrkhunterチェックを開始すると、次のようになります。

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

「不審な共有メモリセグメント」の意味を知っている人はいますか?これが誤検知かどうかを確認するにはどうすればよいですか?その場合:このエラーをホワイトリストに登録するにはどうすればよいですか?

編集

psコマンドでプロセスを一覧表示しようとすると、PID 1769のプロセスが存在しません。

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache
linux  rkhunter 
シュテフェン
ソース
これは、「情報セキュリティSE」のための質問です:security.stackexchange.com/questions/220302/...
rubo77

回答:

12

v 1.4.4の変更ログから:

ALLOWIPCPROC構成ファイルオプションが追加されました。これは、共有メモリセグメント(「ipc_shared_mem」チェック中に検出された)を使用して、疑わしいプロセスをホワイトリストに登録するために使用できます。

したがって、ホワイトリストを使用するには、以下を使用します

ALLOWIPCPROC=path/to/service

例えば

ALLOWIPCPROC=/usr/sbin/httpd
ユーザー425741
ソース
6
これは、Apacheが共有メモリセグメントを使用する理由、またはそれを許可しても安全である理由を説明していません。警告を盲目的に無視するように人々を励ますことはあまり役に立ちません-今のところそれが安全であったとしても、彼らが次にそれをするのはそうではないかもしれません。
Adam Spiers
8

共有メモリセグメントの概念については、http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.htmlで説明されています。名前が示すように、共有メモリセグメントは、複数のプロセスで共有できるメモリセグメントです。ファイルであるApache Webサーバープロセス:/ usr / sbin / httpdは共有メモリを使用します。Apacheサーバーワーカー間でデータを共有するために、共有メモリを使用します。これは、Apache HTTPサーバーの共有オブジェクトキャッシュで説明されています。

共有メモリへのアクセスは、プロセスが別のプロセスが使用するメモリを読み取り、場合によっては変更できるため、セキュリティリスクです。信頼できるプロセスのみが共有メモリへのアクセスを許可されるべきです。信頼されたプロセス/ usr / sbin / httpdを疑わしいと見なすため、Rkhunterセキュリティスキャンは少し厳密です。

Pleskフォーラムで提案されているように、この警告は安全に無視できます。 -Plesk-server

警告を無視するには、共有メモリセグメントにアクセスしているプロセスへのパスを、rkhunter.conf構成ファイルのALLOWIPCPROCオプションに追加する必要があります。この場合のプロセスへのパスは/ usr / sbin / httpdです。

rkhunter.confファイルには、ALLOWIPCPROCオプションに関する次のドキュメントが含まれてます。

指定されたプロセスパス名が共有メモリセグメントを使用できるようにします。このオプションは複数回指定でき、ワイルドカード文字を使用できます。デフォルト値はnull文字列です。

ナディールラティフ
ソース
2
これは承認された回答よりも優れているため賛成票を投じますが、無視しても安全である理由を説明していません。なぜApacheは共有メモリセグメントを必要とするのですか?
Adam Spiers
0

httpdを停止すると、警告が表示されなくなります(期待どおり)。httpdを開始した後、警告が再び表示されます(同じPIDで!)。私はこれを数回試しました(すべて同じ場合)。

しかし:サーバーを再起動した後、警告は消えました。サーバーをいじってみました(GroupOfficeへのログイン、httpdの再起動など)と、警告がしつこく(うまくいけば)消えてしまったようです。しかし、これは翌日には観察します...

「疑わしい共有メモリセグメント」の警告が何を意味するのか、またこれが誤検知であるかどうかをどのように判断できるのか、私にはわかりません。そのため、この質問/回答を「回答済み」としてマークしません...

よろしくお願いします、Steffen

シュテフェン
ソース
あなたはそれらを追い払う;)
IlliakaillI
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.