CentOS7이 설치된 새로운 서버와 GroupOffice가 설치되어 있습니다. rkhunter를 설치하고 rkhunter 검사를 시작한 후 다음을 얻습니다.
[09:58:15] Suspicious Shared Memory segments
[09:58:15] Process: PID: 1769 Owner: apache [ Found ]
[09:58:15] Suspicious Shared Memory segments [ Warning ]
“의심스러운 공유 메모리 세그먼트”가 무엇을 의미하는지 아는 사람이 있습니까? 이것이 오 탐지인지 어떻게 확인할 수 있습니까? 그렇다면 어떻게이 오류를 화이트리스트에 올릴 수 있습니까?
편집하다
ps 명령으로 프로세스를 나열하려고하면 PID 1769가있는 프로세스가 없습니다.
# ps -p 1769
PID TTY TIME CMD
# ps aux | grep 1769
root 12777 0.0 0.0 112660 960 pts/0 S+ 10:25 0:00 grep --color=auto 1769
# ps aux | grep apache
apache 12606 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12607 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12608 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12609 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
apache 12610 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND
root 12779 0.0 0.0 112660 960 pts/0 S+ 10:26 0:00 grep --color=auto apache
답변
ALLOWIPCPROC 구성 파일 옵션을 추가했습니다. 공유 메모리 세그먼트 ( ‘ipc_shared_mem’확인 중 발견)를 사용하여 의심스러운 프로세스를 허용 목록으로 만드는 데 사용할 수 있습니다.
허용하려면 다음을 사용하십시오.
ALLOWIPCPROC=path/to/service
예 :
ALLOWIPCPROC=/usr/sbin/httpd
답변
공유 메모리 세그먼트의 개념은 http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html에 설명되어 있습니다. 이름에서 알 수 있듯이 공유 메모리 세그먼트는 여러 프로세스에서 공유 할 수있는 메모리 세그먼트입니다. / usr / sbin / httpd 파일 인 Apache 웹 서버 프로세스 는 공유 메모리를 사용합니다. Apache 서버 작업자간에 데이터를 공유하기 위해 공유 메모리를 사용합니다. 이 내용은 Apache HTTP Server의 공유 객체 캐시에 설명되어 있습니다.
공유 메모리에 액세스하면 프로세스가 다른 프로세스에서 사용하는 메모리를 읽고 잠재적으로 수정할 수 있으므로 보안 위험이 있습니다. 신뢰할 수있는 프로세스 만 공유 메모리에 액세스 할 수 있어야합니다. Rkhunter 보안 검색은 신뢰할 수있는 프로세스 / usr / sbin / httpd 를 의심스러운 것으로 간주하기 때문에 약간 엄격합니다 .
Plesk 포럼에서 제안한대로이 경고는 무시해도됩니다. https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-server .
경고를 무시하려면, 공유 메모리 Segement에 액세스하는 과정의 경로가 추가되어야합니다 ALLOWIPCPROC의 rkhunter.conf 구성 파일에서 옵션을 선택합니다. 이 경우 프로세스 경로는 / usr / sbin / httpd 입니다.
rkhunter.conf 파일에는 ALLOWIPCPROC 옵션 에 대한 다음 설명서가 포함되어 있습니다.
지정된 프로세스 경로 이름이 공유 메모리 세그먼트를 사용하도록 허용하십시오. 이 옵션은 두 번 이상 지정 될 수 있으며 와일드 카드 문자를 사용할 수 있습니다. 기본값은 널 문자열입니다.
답변
httpd를 중지하면 경고가 예상대로 사라집니다. httpd를 시작하면 경고가 다시 나타납니다 (같은 PID로!). 나는 이것을 여러 번 시도했다 (같은 결과를 가진 모든 경우).
그러나 : 서버를 재부팅하면 경고가 사라집니다. 서버를 가지고 놀았으며 (GroupOffice에 로그인하고 httpd를 다시 시작하는 등) 경고가 지속적으로 (바람직하게) 사라진 것 같습니다. 그러나 나는 다음 날에 이것을 관찰 할 것입니다 …
“의심스러운 공유 메모리 세그먼트”경고의 의미와 이것이 오 탐지 여부를 어떻게 알 수 있는지 모르겠습니다. 따라서이 질문 / 답변을 “답변”으로 표시하지 않습니다 …
감사합니다. Steffen