rkhunter: «Подозрительные сегменты общей памяти»

У меня есть новый установленный сервер с CentOS7 и установкой GroupOffice на нем. После установки rkhunter и запуска проверки rkhunter я получаю:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

Кто-нибудь знает, что означает «сегменты подозрительной общей памяти»? Как я могу проверить, является ли это ложным срабатыванием? И если так: как я могу внести в белый список эту ошибку?

РЕДАКТИРОВАТЬ

Если я попытаюсь перечислить процесс с помощью команды ps, процесс с PID 1769 не появится:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

Из журнала изменений для v 1.4.4 :

Добавлена ​​опция файла конфигурации ALLOWIPCPROC. Это можно использовать для внесения в белый список подозрительных процессов с использованием сегментов общей памяти (обнаруживается при проверке «ipc_shared_mem»).

Так что для белого списка используйте следующее

ALLOWIPCPROC=path/to/service

например

ALLOWIPCPROC=/usr/sbin/httpd

Концепция сегментов общей памяти поясняется на: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Как следует из названия, сегмент общей памяти - это сегмент памяти, который может использоваться несколькими процессами. Процесс веб-сервера Apache, который представляет собой файл: / usr / sbin / httpd, использует общую память. Он использует общую память для обмена данными между работниками сервера Apache. Это объясняется на: Кэш общих объектов в HTTP-сервере Apache

Доступ к общей памяти представляет собой угрозу безопасности, поскольку позволяет процессу читать и потенциально изменять память, используемую другим процессом. Только доверенные процессы должны иметь доступ к общей памяти. Сканирование безопасности Rkhunter является немного строгим, поскольку считает доверенный процесс / usr / sbin / httpd подозрительным.

Это предупреждение можно безопасно проигнорировать, как это предлагается на форуме Plesk: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Плеск-сервер .

Чтобы игнорировать предупреждение, путь к процессу, который обращается к сегменту совместно используемой памяти, должен быть добавлен к опции ALLOWIPCPROC в файле конфигурации rkhunter.conf. Путь к процессу в этом случае: / usr / sbin / httpd .

Файл rkhunter.conf содержит следующую документацию по опции ALLOWIPCPROC :

Разрешить указанным именам процессов использовать сегменты общей памяти. Эта опция может быть указана более одного раза и может использовать символы подстановки. Значением по умолчанию является пустая строка.

После остановки httpd предупреждение исчезло (как и ожидалось). После запуска httpd снова появляется предупреждение (с тем же PID!). Я пробовал это несколько раз (каждый случай с одинаковым результатом).

Но : после перезагрузки сервера предупреждение исчезло. Я поигрался с сервером (войдите в GroupOffice, перезапустите httpd и т. Д.), И кажется, что предупреждение исчезло постоянно (надеюсь). Тем не менее, я буду наблюдать эту вещь в ближайшие дни ...

Я понятия не имею, что означает предупреждение «Подозрительные сегменты общей памяти» и как я могу выяснить, является ли это ложным срабатыванием или нет. Поэтому я также не буду отмечать этот вопрос / ответ как «ответ» ...

Спасибо и всего наилучшего, Штеффен