Di sini saya memiliki server diinstal baru dengan CentOS7 dan instalasi GroupOffice di atasnya. Setelah menginstal rkhunter dan memulai pemeriksaan rkhunter saya mendapatkan:
[09:58:15] Suspicious Shared Memory segments
[09:58:15] Process: PID: 1769 Owner: apache [ Found ]
[09:58:15] Suspicious Shared Memory segments [ Warning ]
Adakah yang tahu arti dari "Segmen Memori yang Mencurigakan" artinya? Bagaimana saya bisa mengecek apakah ini false positive? Dan jika demikian: Bagaimana saya bisa membuat daftar putih kesalahan ini?
EDIT
Jika saya mencoba mendaftar proses dengan perintah ps proses dengan PID 1769 tidak ada:
# ps -p 1769
PID TTY TIME CMD
# ps aux | grep 1769
root 12777 0.0 0.0 112660 960 pts/0 S+ 10:25 0:00 grep --color=auto 1769
# ps aux | grep apache
apache 12606 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12607 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12608 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12609 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12610 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
root 12779 0.0 0.0 112660 960 pts/0 S+ 10:26 0:00 grep --color=auto apache
Jawaban:
Dari changelog untuk v 1.4.4 :
Jadi untuk daftar putih gunakan yang berikut ini
misalnya
sumber
Konsep Segmen Memori Bersama dijelaskan di: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Seperti namanya, Segmen Memori Bersama adalah segmen memori yang dapat dibagi oleh banyak proses. Proses server web Apache, yang merupakan file: / usr / sbin / httpd menggunakan memori bersama. Ini menggunakan memori bersama untuk berbagi data di seluruh pekerja server Apache. Ini dijelaskan pada: Cache Obyek Bersama di Apache HTTP Server
Mengakses memori bersama adalah risiko keamanan karena memungkinkan proses membaca dan berpotensi mengubah memori yang digunakan oleh proses lain. Hanya proses tepercaya yang diizinkan untuk mengakses memori bersama. Pemindaian keamanan Rkhunter agak ketat karena menganggap proses tepercaya / usr / sbin / httpd sebagai mencurigakan.
Peringatan ini dapat diabaikan dengan aman seperti yang disarankan di forum Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-Apa-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-server .
Untuk mengabaikan peringatan, jalur ke proses yang mengakses Segmen Memori Bersama, harus ditambahkan ke opsi ALLOWIPCPROC dalam file konfigurasi rkhunter.conf. Path ke proses dalam kasus ini adalah: / usr / sbin / httpd .
File rkhunter.conf berisi dokumentasi berikut pada opsi ALLOWIPCPROC :
sumber
Setelah menghentikan httpd, peringatan hilang (seperti yang diharapkan). Setelah memulai httpd peringatan itu ada lagi (dengan PID yang sama!). Saya telah mencoba ini beberapa kali (setiap kasus dengan hasil yang sama).
Tetapi : Setelah me-reboot server, peringatan itu hilang. Saya telah bermain-main dengan server (login ke GroupOffice, restart httpd dan sebagainya) dan tampaknya peringatan itu hilang secara terus-menerus (semoga). Namun, saya akan mengamati hal ini di hari-hari berikutnya ...
Saya tidak tahu apa arti peringatan "Segmen Memori yang Mencurigai" dan bagaimana saya bisa mengetahui apakah ini positif palsu atau tidak. Jadi saya juga tidak akan menandai pertanyaan / jawaban ini sebagai "dijawab" ...
Terima kasih dan salam, Steffen
sumber