rkhunter:segmentos sospechosos de memoria compartida

Se agregó la opción de archivo de configuración ALLOWIPCPROC. Esto se puede usar para incluir procesos sospechosos en la lista blanca usando segmentos de memoria compartida (que se encuentran durante la verificación 'ipc_shared_mem').

Entonces, para incluir en la lista blanca, use lo siguiente

ALLOWIPCPROC=path/to/service

por ejemplo

ALLOWIPCPROC=/usr/sbin/httpd

Solución 2:

El concepto de segmentos de memoria compartida se explica en:http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html. Como sugiere el nombre, un segmento de memoria compartida es un segmento de memoria que varios procesos pueden compartir. El proceso del servidor web Apache, que es el archivo:/usr/sbin/httpd utiliza memoria compartida. Utiliza memoria compartida para compartir datos entre los trabajadores del servidor Apache. Esto se explica en:Caché de objetos compartidos en Apache HTTP Server

Acceder a la memoria compartida es un riesgo de seguridad porque permite que un proceso lea y potencialmente modifique la memoria utilizada por otro proceso. Solo se debe permitir que los procesos de confianza accedan a la memoria compartida. El escaneo de seguridad de Rkhunter es un poco estricto ya que se refiere al proceso confiable /usr/sbin/httpd como sospechoso.

Esta advertencia se puede ignorar de forma segura como se sugiere en el foro de Plesk:https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a -Servidor Plesk.

Para ignorar la advertencia, la ruta al proceso que accede al segmento de memoria compartida debe agregarse a ALLOWIPCPROC opción en el archivo de configuración rkhunter.conf. La ruta al proceso en este caso es:/usr/sbin/httpd .

El archivo rkhunter.conf contiene la siguiente documentación sobre ALLOWIPCPROC opción: