Prisma Cloud Host Protection impossible à gérer les processus provenant des services Systemd définis avec 'PrivateTmp=true'
3450
Created On 06/27/22 03:43 AM - Last Modified 03/02/23 01:16 AM
Symptom
- Par exemple, l'exécution de la commande suivante sur un serveur Apache confirme que le service Apache HTTP s'exécute avec 'PrivateTmp=true' dans son fichier unitaire.
sudo systemctl cat httpd
- Par conséquent, les processus provenant de ce service ne sont pas détectés et ne sont donc pas alertés par Prisma Cloud Host Protection Mechanism.
Environment
- Prisma Cloud
Cause
- Les services Systemd définis avec les processus de génération 'PrivateTmp=true' dans un espace de noms de montage distinct (non hôte).
- Si la valeur est true, il configure un nouvel espace de noms de système de fichiers pour les processus exécutés et monte les répertoires privés /tmp/ et /var/tmp/ qui ne sont pas partagés par des processus en dehors de l’espace de noms.
- Ceci est utile pour sécuriser l’accès aux fichiers temporaires du processus, mais rend impossible le partage entre les processus via /tmp/ ou /var/tmp/.
- Plus d’informations à ce sujet peuvent être trouvées ici: PrivateTmp=
- Actuellement, Prisma Cloud Host Protection ne prend pas en charge les processus provenant de services Systemd définis avec 'PrivateTmp=true'.
Resolution
- Une amélioration de la fonctionnalité ouverte pour prendre en charge cela a déjà été soulevée en priorité sans pour ETA le moment.
- Pendant ce temps, la modification des paramètres par défaut des services Systemd ou la création de 'PrivateTmp=false' pour que Host Protection détecte et alerte sur ces processus n'est ni conseillée ni recommandée pour Prisma Cloud des raisons de sécurité.