rkhunter:Verdächtige Shared-Memory-Segmente

Konfigurationsdateioption ALLOWIPCPROC hinzugefügt. Dies kann verwendet werden, um verdächtige Prozesse mithilfe gemeinsam genutzter Speichersegmente (die während der Überprüfung von 'ipc_shared_mem' gefunden wurden) auf die Whitelist zu setzen.

Verwenden Sie also Folgendes, um es auf die Whitelist zu setzen

ALLOWIPCPROC=path/to/service

zB

ALLOWIPCPROC=/usr/sbin/httpd

Lösung 2:

Das Konzept von Shared Memory Segments wird erklärt auf:http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html. Wie der Name schon sagt, ist ein Shared Memory Segment ein Speichersegment, das von mehreren Prozessen gemeinsam genutzt werden kann. Der Apache-Webserverprozess, das ist die Datei:/usr/sbin/httpd verwendet gemeinsamen Speicher. Es verwendet gemeinsam genutzten Speicher, um Daten zwischen den Apache-Serverarbeitern gemeinsam zu nutzen. Dies wird erklärt auf:Shared Object Cache in Apache HTTP Server

Der Zugriff auf gemeinsam genutzten Speicher ist ein Sicherheitsrisiko, da er einem Prozess ermöglicht, den von einem anderen Prozess verwendeten Speicher zu lesen und möglicherweise zu ändern. Nur vertrauenswürdigen Prozessen sollte der Zugriff auf gemeinsamen Speicher gestattet werden. Der Rkhunter-Sicherheitsscan ist etwas streng, da er den vertrauenswürdigen Prozess /usr/sbin/httpd berücksichtigt als verdächtig.

Diese Warnung kann ignoriert werden, wie im Plesk-Forum vorgeschlagen:https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Plesk-Server.

Um die Warnung zu ignorieren, sollte der Pfad zu dem Prozess, der auf das Shared Memory Segment zugreift, zu ALLOWIPCPROC hinzugefügt werden Option in der Konfigurationsdatei rkhunter.conf. Der Pfad zum Prozess lautet in diesem Fall:/usr/sbin/httpd .

Die Datei rkhunter.conf enthält die folgende Dokumentation zu ALLOWIPCPROC Möglichkeit: