Prisma Cloud Hostschutz kann nicht verarbeitet werden Prozesse stammen von Systemd-Diensten, die mit 'PrivateTmp=true' definiert sind
3440
Created On 06/27/22 03:43 AM - Last Modified 03/02/23 01:16 AM
Symptom
- Wenn Sie beispielsweise den folgenden Befehl auf einem Apache-Server ausführen, wird bestätigt, dass der Apache-Dienst HTTP mit 'PrivateTmp=true' in seiner Unit-Datei ausgeführt wird.
sudo systemctl cat httpd
- Infolgedessen bleiben Prozesse, die von diesem Dienst stammen, unentdeckt und werden daher nicht vom Prisma Cloud Host Protection Mechanism alarmiert.
Environment
- Prisma Cloud
Cause
- Systemd-Dienste, die mit 'PrivateTmp=true' definiert sind, erzeugen Prozesse in einem separaten Mount-Namespace (nicht Host).
- Wenn true, richtet es einen neuen Dateisystem-Namespace für die ausgeführten Prozesse ein und mountet private /tmp/ und /var/tmp/ Verzeichnisse darin, die nicht von Prozessen außerhalb des Namespace gemeinsam genutzt werden.
- Dies ist nützlich, um den Zugriff auf temporäre Dateien des Prozesses zu sichern, macht aber die gemeinsame Nutzung zwischen Prozessen über /tmp/ oder /var/tmp/ unmöglich.
- Weitere Informationen hierzu finden Sie hier: PrivateTmp=
- Derzeit unterstützt der Hostschutz keine Prozesse, die von Systemd-Diensten stammen, Prisma Cloud die mit 'PrivateTmp=true' definiert sind.
Resolution
- Eine offene Feature-Verbesserung, um dies zu unterstützen, wurde bereits auf Priorität ohne ETA zu diesem Zeitpunkt angesprochen.
- In der Zwischenzeit wird es aus Sicherheitsgründen weder empfohlen noch empfohlen, die Standardeinstellungen der Systemd-Dienste zu ändern oder "PrivateTmp=false" für Prisma Cloud den Hostschutz festzulegen, um solche Prozesse zu erkennen und zu warnen.