RK Hunter Avvisa su / usr / lib / apache2 / mpm-event / apache2 utilizza i file cancellati, come approfondire la questione e come trattarla?

1

Ho un server cloud che sto preparando per una piccola implementazione del sito E-Commerce.
Ho usato un tasto RSA-2048 subito prima di avviare il server appena acquistato, con l'aiuto del pannello di controllo del provider. Ho rapidamente protetto SSH Server prima di eseguire il mio primo riavvio.

Ho installato Ubuntu 12.04 Server Edition 64 bit, aggiornato e aggiornato.
Ho installato LAMP Stack utilizzando uno script di provisioning, ho scelto di utilizzare lo script poiché non so ancora come configurare Varnish-Cache , lo script include opzioni per installare automaticamente Varnish-Cache per me.
Varnish-Cache è installato ma non ancora abilitato.

Sono in procinto di applicare alcune misure di sicurezza di base del server e questo include l'installazione di RKHunter . Ho cancellato e bianco elencato gli avvertimenti di falsi positivi noti.

Dopo la configurazione iniziale e la corsa iniziale di RKhunter, lancia un avvertimento sul processo di apache2 usando i file cancellati.

Warning: The following processes are using deleted files:
Process: /usr/lib/apache2/mpm-event/apache2    PID: 1315    File: /run/apache2/ssl_mutex
Process: /usr/lib/apache2/mpm-event/apache2    PID: 1338    File: /run/apache2/ssl_mutex
Process: /usr/lib/apache2/mpm-event/apache2    PID: 1339    File: /run/apache2/ssl_mutex
Process: /usr/lib/apache2/mpm-event/apache2    PID: 1340    File: /run/apache2/ssl_mutex

Non ho idea di questo avviso e di come controllare e confermare se è pericoloso o meno. Se non pericoloso, procederò e autorizzerò / autorizzerò il processo.

Ho fatto qualche ricerca sul processo e sul file, e non riesco a trovare abbastanza dettagli su come ispezionare ulteriormente l'avvertimento e su come affrontarlo. I processi coinvolti nell'avvertimento sono;

usr/sbin/apache2 -k start
www-data  1262  0.0  0.5  85172  2816 ?        S    23:05   0:00 /usr/sbin/apache2 -k start
www-data  1263  0.0  0.5  85164  2620 ?        S    23:05   0:00 /usr/sbin/fcgi-pm -k start
www-data  1278  0.0  0.6 333736  3240 ?        Sl   23:05   0:00 /usr/sbin/apache2 -k start

Alcuni link che ho letto sono sotto, ma non così utili per quanto riguarda l'aiuto che sto cercando;
http://www.howtoforge.com/forums/archive/index.php/t-56463.html
http://sourceforge.net/mailarchive/forum.php?thread_name=1285681228.2694.51.camel%40localhost.localdomain&forum_name=rkhunter-users
http://ubuntuforums.org/showthread.php?t=1711303
http://permalink.gmane.org/gmane.comp.security.rkhunter.user/2012

Ho bisogno di aiuto e consigli su come gestire l'avvertimento. O Prima permetto che passi le impostazioni di RKHunter. Sto pensando alla sceneggiatura che ho usato, ma è stata clonata da un Github Repo. E ha anche una Home Page separata che ha il link per il download per lo script. Lo script è chiamato TuxLite .

    
posta GaryP 12.01.2014 - 18:11
fonte

1 risposta

1

Questo non viene dagli script che hai usato (tuxlite). Anche se è una cattiva pratica, puoi trovare spesso processi di Linux usando i file cancellati (Apache nel tuo caso). RKhunter non gli piace troppo, in quanto fondamentalmente quei file sono invisibili ad altri processi e questo potrebbe essere visto come un comportamento malevolo.

Tuttavia, nel tuo caso e dato che si tratta di una casella pulita appena installata, la considererei come un falso positivo e, se necessario, puoi aggiungere una regola whitelist nella configurazione di RKhunter o persino disabilitare completamente il modulo di file cancellato .

Se vuoi approfondire la questione, ecco un paio di cose che puoi fare:

lsof | grep /run/apache2/ssl_mutex

ti fornirà l'ID del processo e il numero del file. Quindi puoi andare e controllare il descrittore del file:

cd /proc/[PROCESS_ID]/fd
ls -Filah [FILE_NUMBER]

Puoi usare i soliti comandi per giocare con questo file (leggerlo, scriverci sopra). Inoltre,

tail [FILE NUMBER]

ti mostrerà ciò che è scritto in quel file.

In ogni caso, non provare a rimuoverlo perché il processo lo sta ancora utilizzando.

    
risposta data 21.02.2014 - 13:36
fonte

Leggi altre domande sui tag