rkhunter: "संदिग्ध साझा मेमोरी सेगमेंट"

मैं यहाँ CentOS7 और उस पर एक GroupOffice स्थापना के साथ एक नया स्थापित सर्वर है। Rkhunter स्थापित करने और एक rkhunter चेक शुरू करने के बाद मुझे मिलता है:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

किसी को भी पता है कि "संदिग्ध साझा मेमोरी सेगमेंट" का क्या मतलब है? अगर यह गलत सकारात्मक है तो मैं कैसे जांच कर सकता हूं? और यदि ऐसा है: मैं इस त्रुटि को कैसे सूचीबद्ध कर सकता हूं?

संपादित करें

यदि मैं पीएस 1769 के साथ पीएस कमांड के साथ प्रक्रिया को सूचीबद्ध करने की कोशिश करता हूं, तो यह नहीं है:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

वी 1.4.4 के लिए चैंज से :

ALLOWIPCPROC कॉन्फ़िगरेशन फ़ाइल विकल्प जोड़ा गया। यह साझा मेमोरी सेगमेंट ('ipc_sared_mem' चेक के दौरान पाया गया) का उपयोग करके श्वेतसूची संदिग्ध प्रक्रियाओं के लिए किया जा सकता है।

तो श्वेतसूची में निम्नलिखित का उपयोग करें

ALLOWIPCPROC=path/to/service

जैसे

ALLOWIPCPROC=/usr/sbin/httpd

साझा मेमोरी सेगमेंट की अवधारणा पर समझाया गया है: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html । जैसा कि नाम से पता चलता है, एक साझा मेमोरी सेगमेंट एक मेमोरी सेगमेंट है जिसे कई प्रक्रियाओं द्वारा साझा किया जा सकता है। Apache वेब सर्वर प्रक्रिया, जो फ़ाइल है: / usr / sbin / httpd साझा की गई मेमोरी का उपयोग करती है । यह अपाचे सर्वर श्रमिकों में डेटा साझा करने के लिए साझा मेमोरी का उपयोग करता है। इस पर समझाया गया है: Apache HTTP सर्वर में साझा वस्तु कैश

साझा की गई मेमोरी एक्सेस करना एक सुरक्षा जोखिम है क्योंकि यह एक प्रक्रिया को पढ़ने और किसी अन्य प्रक्रिया द्वारा उपयोग की जाने वाली मेमोरी को संभावित रूप से संशोधित करने की अनुमति देता है। केवल विश्वसनीय प्रक्रियाओं को साझा मेमोरी तक पहुंचने की अनुमति दी जानी चाहिए। Rukunter सुरक्षा स्कैनिंग थोड़ी सख्त है क्योंकि यह विश्वसनीय प्रक्रिया / usr / sbin / httpd को संदिग्ध मानता है।

इस चेतावनी को सुरक्षित रूप से नजरअंदाज किया जा सकता है जैसा कि Plesk फोरम पर सुझाया गया है: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -पुलिस-सर्वर ।

चेतावनी को अनदेखा करने के लिए, साझा मेमोरी सेगमेंट तक पहुँचने वाली प्रक्रिया का मार्ग , rkhunter.conf कॉन्फ़िगरेशन फ़ाइल में ALLOWIPCPROC विकल्प में जोड़ा जाना चाहिए । इस मामले में प्रक्रिया का रास्ता है: / usr / sbin / httpd ।

Rkhunter.conf फ़ाइल में ALLOWIPCPROC विकल्प पर निम्नलिखित दस्तावेज़ हैं :

साझा स्मृति खंडों का उपयोग करने के लिए निर्दिष्ट प्रक्रिया पाथनाम की अनुमति दें। यह विकल्प एक से अधिक बार निर्दिष्ट किया जा सकता है, और वाइल्डकार्ड वर्णों का उपयोग कर सकता है। डिफ़ॉल्ट मान अशक्त स्ट्रिंग है।

Httpd को रोकने के बाद चेतावनी समाप्त हो गई है (जैसे अपेक्षित)। Httpd शुरू करने के बाद चेतावनी फिर से (उसी PID के साथ!) है। मैंने कई बार यह कोशिश की थी (एक ही परिणाम के साथ हर मामला)।

लेकिन : सर्वर रिबूट करने के बाद चेतावनी चली गई है। मेरे पास सर्वर के साथ खेल रहा है (GroupOffice पर लॉगिन करें, httpd और इतने पर पुनः आरंभ करें) और ऐसा लगता है कि चेतावनी लगातार बनी हुई है (उम्मीद है)। हालाँकि, मैं अगले दिनों में इस बात का पालन करूंगा ...

मुझे नहीं पता कि "संदिग्ध साझा मेमोरी सेगमेंट" चेतावनी का क्या मतलब है और मैं यह कैसे पता लगा सकता हूं कि यह गलत सकारात्मक है या नहीं। इसलिए मैं इस प्रश्न / उत्तर को "उत्तर" के रूप में चिह्नित नहीं करूंगा ...

धन्यवाद और का संबंध है, स्टीफ़न