我在这里安装了CentOS7的新安装的服务器和一个GroupOffice安装。 安装rkhunter并启动rkhunter检查后,我得到:
[09:58:15] Suspicious Shared Memory segments [09:58:15] Process: PID: 1769 Owner: apache [ Found ] [09:58:15] Suspicious Shared Memory segments [ Warning ] 任何人都知道“可疑的共享内存段”是什么意思? 我如何检查这是否是误报? 如果是这样的话:我怎样才能白名单这个错误?
编辑
如果我尝试使用ps命令列出进程,则带有PID 1769的进程不存在:
# ps -p 1769 PID TTY TIME CMD # ps aux | grep 1769 root 12777 0.0 0.0 112660 960 pts/0 S+ 10:25 0:00 grep --color=auto 1769 # ps aux | grep apache apache 12606 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND apache 12607 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND apache 12608 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND apache 12609 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND apache 12610 0.0 0.5 537092 10224 ? S 10:15 0:00 /usr/sbin/httpd -DFOREGROUND root 12779 0.0 0.0 112660 960 pts/0 S+ 10:26 0:00 grep --color=auto apache
从v 1.4.4的更新日志 :
添加了ALLOWIPCPROCconfiguration文件选项。 这可以用来将使用共享内存段的可疑进程列入白名单(在“ipc_shared_mem”检查中find)。
所以白名单使用以下
ALLOWIPCPROC=path/to/service
例如
ALLOWIPCPROC=/usr/sbin/httpd
停止httpd后,警告消失了(像预期的那样)。 启动httpd后,警告再次出现(使用相同的PID!)。 我已经尝试了几次(每个案例都有相同的结果)。
但是 :重新启动服务器后,警告消失了。 我有玩弄服务器(loginGroupOffice,重新启动httpd等),似乎警告持续(希望)。 不过,我会在接下来的几天里观察这个事情
我不知道“可疑的共享内存段”警告是什么意思,以及如何判断这是否为误报。 所以我也不会把这个问题/答案标记为“已回答”…
感谢和问候,Steffen