rkhunter :“의심스러운 공유 메모리 세그먼트” grep –color=auto 1769 #

CentOS7이 설치된 새로운 서버와 GroupOffice가 설치되어 있습니다. rkhunter를 설치하고 rkhunter 검사를 시작한 후 다음을 얻습니다.

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

“의심스러운 공유 메모리 세그먼트”가 무엇을 의미하는지 아는 사람이 있습니까? 이것이 오 탐지인지 어떻게 확인할 수 있습니까? 그렇다면 어떻게이 오류를 화이트리스트에 올릴 수 있습니까?

편집하다

ps 명령으로 프로세스를 나열하려고하면 PID 1769가있는 프로세스가 없습니다.

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache


답변

v 1.4.4변경 로그에서 :

ALLOWIPCPROC 구성 파일 옵션을 추가했습니다. 공유 메모리 세그먼트 ( ‘ipc_shared_mem’확인 중 발견)를 사용하여 의심스러운 프로세스를 허용 목록으로 만드는 데 사용할 수 있습니다.

허용하려면 다음을 사용하십시오.

ALLOWIPCPROC=path/to/service

예 :

ALLOWIPCPROC=/usr/sbin/httpd

답변

공유 메모리 세그먼트의 개념은 http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html에 설명되어 있습니다. 이름에서 알 수 있듯이 공유 메모리 세그먼트는 여러 프로세스에서 공유 할 수있는 메모리 세그먼트입니다. / usr / sbin / httpd 파일 인 Apache 웹 서버 프로세스 는 공유 메모리를 사용합니다. Apache 서버 작업자간에 데이터를 공유하기 위해 공유 메모리를 사용합니다. 이 내용은 Apache HTTP Server의 공유 객체 캐시에 설명되어 있습니다.

공유 메모리에 액세스하면 프로세스가 다른 프로세스에서 사용하는 메모리를 읽고 잠재적으로 수정할 수 있으므로 보안 위험이 있습니다. 신뢰할 수있는 프로세스 만 공유 메모리에 액세스 할 수 있어야합니다. Rkhunter 보안 검색은 신뢰할 수있는 프로세스 / usr / sbin / httpd 를 의심스러운 것으로 간주하기 때문에 약간 엄격합니다 .

Plesk 포럼에서 제안한대로이 경고는 무시해도됩니다. https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-server .

경고를 무시하려면, 공유 메모리 Segement에 액세스하는 과정의 경로가 추가되어야합니다 ALLOWIPCPROC의 rkhunter.conf 구성 파일에서 옵션을 선택합니다. 이 경우 프로세스 경로는 / usr / sbin / httpd 입니다.

rkhunter.conf 파일에는 ALLOWIPCPROC 옵션 에 대한 다음 설명서가 포함되어 있습니다.

지정된 프로세스 경로 이름이 공유 메모리 세그먼트를 사용하도록 허용하십시오. 이 옵션은 두 번 이상 지정 될 수 있으며 와일드 카드 문자를 사용할 수 있습니다. 기본값은 널 문자열입니다.


답변

httpd를 중지하면 경고가 예상대로 사라집니다. httpd를 시작하면 경고가 다시 나타납니다 (같은 PID로!). 나는 이것을 여러 번 시도했다 (같은 결과를 가진 모든 경우).

그러나 : 서버를 재부팅하면 경고가 사라집니다. 서버를 가지고 놀았으며 (GroupOffice에 로그인하고 httpd를 다시 시작하는 등) 경고가 지속적으로 (바람직하게) 사라진 것 같습니다. 그러나 나는 다음 날에 이것을 관찰 할 것입니다 …

“의심스러운 공유 메모리 세그먼트”경고의 의미와 이것이 오 탐지 여부를 어떻게 알 수 있는지 모르겠습니다. 따라서이 질문 / 답변을 “답변”으로 표시하지 않습니다 …

감사합니다. Steffen