rkunter: "সন্দেহজনক ভাগ করা মেমরি বিভাগ"

আমার এখানে CentOS7 সহ একটি নতুন ইনস্টল করা সার্ভার রয়েছে এবং এটিতে একটি গ্রুপঅফিস ইনস্টলেশন রয়েছে। Rkhunter ইনস্টল করার পরে এবং একটি rkhunter চেক শুরু করার পরে আমি পাই:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

"সন্দেহজনক ভাগ করা মেমরি বিভাগগুলি" এর অর্থ কী কেউ জানেন? আমি কীভাবে এটি পরীক্ষা করতে পারি এটি মিথ্যা ইতিবাচক কিনা? এবং যদি তাই হয়: আমি কীভাবে এই ত্রুটিটিকে সাদা করতে পারি?

সম্পাদনা

আমি যদি পিএস কমান্ডের সাথে প্রক্রিয়াটি পিআইডি 1769 দিয়ে প্রক্রিয়াটি তালিকার চেষ্টা করি তবে সেখানে নেই:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

বনাম 1.4.4 এর চেঞ্জলগ থেকে :

ALLOWIPCPROC কনফিগারেশন ফাইল বিকল্প যুক্ত করা হয়েছে। এটি ভাগ করা মেমরি বিভাগগুলি ('ipc_shared_mem' চেক চলাকালীন পাওয়া যায়) ব্যবহার করে সন্দেহজনক প্রক্রিয়াগুলি হোয়াইটলিস্ট করতে ব্যবহার করা যেতে পারে।

তাই শ্বেত তালিকাতে নিম্নলিখিতটি ব্যবহার করুন

ALLOWIPCPROC=path/to/service

যেমন

ALLOWIPCPROC=/usr/sbin/httpd

ভাগ করা মেমোরি বিভাগগুলির ধারণাটি এখানে ব্যাখ্যা করা হয়েছে: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/ কি-is-shm.html । নামটি যেমন বোঝায়, একটি ভাগ করা মেমরি বিভাগটি একটি মেমরি বিভাগ যা একাধিক প্রক্রিয়া দ্বারা ভাগ করা যায়। অ্যাপাচি ওয়েব সার্ভার প্রক্রিয়া, যা ফাইল: / usr / sbin / httpd ভাগ করা মেমরি ব্যবহার করে। এটি অ্যাপাচি সার্ভার কর্মীদের জুড়ে ডেটা ভাগ করার জন্য ভাগ করা মেমরি ব্যবহার করে। এটি ব্যাখ্যা করা হয়েছে: অ্যাপাচি এইচটিটিপি সার্ভারে ভাগ করা অবজেক্ট ক্যাশে

ভাগ করা মেমরির অ্যাক্সেস করা একটি সুরক্ষা ঝুঁকি কারণ এটি কোনও প্রক্রিয়াটিকে অন্য প্রক্রিয়া দ্বারা ব্যবহৃত মেমরিটি সম্ভাব্যভাবে পড়তে এবং সংশোধন করার অনুমতি দেয়। শুধুমাত্র বিশ্বস্ত প্রক্রিয়াগুলি ভাগ করা মেমরির অ্যাক্সেসের অনুমতি দেওয়া উচিত। Rkhunter সুরক্ষা স্ক্যানিং কিছুটা কঠোর কারণ এটি বিশ্বস্ত প্রক্রিয়া / usr / sbin / httpdটিকে সন্দেহজনক হিসাবে বিবেচনা করে।

এই সতর্কতাটি প্লেস্ক ফোরামে প্রস্তাবিত হিসাবে নিরাপদে উপেক্ষা করা যেতে পারে: https://support.plesk.com/hc/en-us/articles/115001160954-Watchdog-warnings-can-be-safely-ignored-on-a -প্লেস্ক-সার্ভার ।

সতর্কতাটিকে উপেক্ষা করার জন্য, অংশীদারী মেমোরি সেগমেন্টটি অ্যাক্সেস করছে এমন প্রক্রিয়াটির পথটি, rkhunter.conf কনফিগারেশন ফাইলের ALLOWIPCPROC বিকল্পে যুক্ত করা উচিত । এই ক্ষেত্রে প্রক্রিয়াটির পথ হ'ল: / usr / sbin / httpd ।

Rkhunter.conf ফাইলটিতে ALLOWIPCPROC বিকল্পে নিম্নলিখিত ডকুমেন্টেশন রয়েছে :

ভাগ করা মেমরি বিভাগগুলি ব্যবহার করার জন্য নির্দিষ্ট প্রক্রিয়া পাথের নামগুলিকে অনুমতি দিন। এই বিকল্পটি একাধিকবার নির্দিষ্ট করা যেতে পারে এবং ওয়াইল্ডকার্ড অক্ষর ব্যবহার করতে পারে। ডিফল্ট মান হ'ল নাল স্ট্রিং।

এইচপিডি বন্ধ করার পরে সতর্কতা চলে গেছে (প্রত্যাশার মতো)। Httpd শুরু করার পরে আবার সতর্কতা উপস্থিত রয়েছে (একই পিআইডি সহ!)। আমি এটি বেশ কয়েকবার চেষ্টা করেছি (প্রতিটি ফলাফল একই ফলাফল দিয়ে)।

কিন্তু : সার্ভারটি রিবুট করার পরে সতর্কতাটি চলে গেছে। আমি সার্ভারের সাথে ঘুরে বেড়াচ্ছি (গ্রুপঅফিসে লগইন করুন, httpd পুনরায় আরম্ভ করুন এবং আরও কিছু) এবং মনে হয় সতর্কতা অবিচ্ছিন্নভাবে চলে গেছে (আশা করি)। তবে, আমি পরের দিনগুলিতে এই জিনিসটি পর্যবেক্ষণ করব ...

"সন্দেহজনক ভাগ করা মেমরি বিভাগগুলি" সতর্কতাটির অর্থ কী এবং আমি কীভাবে এটি নির্ধারণ করতে পারি এটি মিথ্যা ইতিবাচক কিনা তা আমার কোনও ধারণা নেই। সুতরাং আমি এই প্রশ্ন / উত্তরটিকে "উত্তর" হিসাবে চিহ্নিত করব না ...

ধন্যবাদ এবং শুভেচ্ছা, স্টিফেন