rkhunter: "Підозрілі сегменти спільної пам'яті"

У мене тут новий встановлений сервер із CentOS7 та інсталяцією GroupOffice на ньому. Після установки rkhunter та запуску перевірки rkhunter я отримую:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

Хтось знає, що означає "підозрілі сегменти спільної пам'яті"? Як я можу перевірити, чи це хибний позитив? І якщо так: Як я можу білим перерахувати цю помилку?

EDIT

Якщо я спробую перерахувати процес за допомогою команди ps, то процес з PID 1769 не існує:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

Із журналу змін для версії 1.4.4 :

Додана опція файлу конфігурації ALLOWIPCPROC. Це можна використовувати для дозволу підозрілих процесів із використанням сегментів спільної пам’яті (знайдених під час перевірки 'ipc_shared_mem').

Тож у білий список використовуйте наступне

ALLOWIPCPROC=path/to/service

напр

ALLOWIPCPROC=/usr/sbin/httpd

Поняття сегментів спільної пам'яті пояснюється на веб-сайті : http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html . Як випливає з назви, сегмент спільної пам’яті - це сегмент пам’яті, яким можна ділитися кількома процесами. Процес веб-сервера Apache, який є файлом: / usr / sbin / httpd, використовує спільну пам'ять. Він використовує спільну пам'ять для обміну даними серед працівників сервера Apache. Це пояснюється у розділі: Спільний кеш-об’єкт на сервері Apache HTTP

Доступ до спільної пам'яті є ризиком для безпеки, оскільки дозволяє процесу зчитувати та потенційно змінювати пам'ять, використовувану іншим процесом. Доступ до спільної пам’яті повинен бути доступний лише довіреним процесам. Сканування безпеки Rkhunter є дещо суворим, оскільки він вважає, що довірений процес / usr / sbin / httpd є підозрілим.

Це попередження можна безпечно ігнорувати, як було запропоновано на форумі в Плеску: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Плеск-сервер .

Щоб ігнорувати попередження, до опції ALLOWIPCPROC у файлі конфігурації rkhunter.conf слід додати шлях до процесу, що отримує доступ до розділеної спільної пам'яті . Шлях до процесу в цьому випадку: / usr / sbin / httpd .

Файл rkhunter.conf містить таку документацію щодо опції ALLOWIPCPROC :

Дозвольте вказаним іменам процесів використовувати сегменти спільної пам'яті. Цей параметр може бути вказаний не один раз і може використовувати символи підстановки. Значенням за замовчуванням є нульовий рядок.

Після припинення httpd попередження відсутнє (як очікувалося). Після запуску httpd попередження знову є (з тим самим PID!). Я намагався це кілька разів (кожен випадок з однаковим результатом).

Але : Після перезавантаження сервера попередження відсутнє. Я граю разом із сервером (увійдіть у GroupOffice, перезавантажте httpd тощо), і, здається, попередження наполегливо (сподіваюся). Однак я буду спостерігати за цією справою в наступні дні ...

Я поняття не маю, що означає попередження "Підозрілі сегменти спільної пам'яті" і як я можу зрозуміти, чи це помилковий позитив чи ні. Тому я також не позначатиму це питання / відповідь як "відповідь" ...

Дякую і з повагою, Стеффен