Prisma Cloud Protección de host incapaz de manejar procesos originados a partir de servicios de Systemd definidos con 'PrivateTmp=true'
3448
Created On 06/27/22 03:43 AM - Last Modified 03/02/23 01:16 AM
Symptom
- Como ejemplo, ejecutar el siguiente comando en un servidor Apache confirma que el servicio Apache HTTP se está ejecutando con 'PrivateTmp=true' en su archivo de unidad.
sudo systemctl cat httpd
- Como resultado, los procesos originados en este servicio no se detectan y, por lo tanto, no son alertados por Prisma Cloud el mecanismo de protección del host.
Environment
- Prisma Cloud
Cause
- Los servicios de Systemd definidos con 'PrivateTmp=true' generan procesos en un espacio de nombres de montaje independiente (no host).
- Si es true, configura un nuevo espacio de nombres del sistema de archivos para los procesos ejecutados y monta directorios privados /tmp/ y /var/tmp/ dentro de él que no son compartidos por procesos fuera del espacio de nombres.
- Esto es útil para asegurar el acceso a los archivos temporales del proceso, pero hace que el intercambio entre procesos a través de /tmp/ o /var/tmp/ sea imposible.
- Más información sobre esto se puede encontrar aquí: PrivateTmp =
- Actualmente, Prisma Cloud Host Protection no admite procesos originados a partir de servicios de Systemd definidos con 'PrivateTmp=true'.
Resolution
- Una mejora de la característica abierta para apoyar esto ya se ha planteado en prioridad sin ETA en este momento.
- Mientras tanto, cambiar la configuración predeterminada de los servicios de Systemd o hacer 'PrivateTmp = false' para Prisma Cloud que Host Protection detecte y alerte sobre dichos procesos no se recomienda ni se recomienda por razones de seguridad.