Prisma Cloud Host Protection は、'PrivateTmp=true' で定義された Systemd サービスから生成されたプロセスを処理できません
3446
Created On 06/27/22 03:43 AM - Last Modified 03/02/23 01:16 AM
Symptom
- 例として、Apache で次のコマンドを実行すると、HTTPサーバーは、ユニット ファイルに「PrivateTmp=true」を指定して Apache サービスが実行されていることを確認します。
sudo systemctl cat httpd
- その結果、このサービスから発生したプロセスは検出されないため、アラートは発生しません。Prisma Cloudホスト保護メカニズム。
Environment
- Prisma Cloud
Cause
- 「PrivateTmp=true」で定義された Systemd サービスは、別の (ホストではない) マウント名前空間でプロセスを生成します。
- true の場合、実行されたプロセス用に新しいファイル システムの名前空間を設定し、名前空間の外部のプロセスによって共有されないプライベートな /tmp/ および /var/tmp/ ディレクトリをその内部にマウントします。
- これは、プロセスの一時ファイルへのアクセスを保護するのに役立ちますが、/tmp/ または /var/tmp/ を介したプロセス間の共有を不可能にします。
- 詳細については、次を参照してください。 PrivateTmp=
- 現在、Prisma Cloud Host Protection は、'PrivateTmp=true' で定義された Systemd サービスから生成されたプロセスをサポートしていません。
Resolution
- これをサポートするための未解決の機能改善は、すでに優先順位が上がっています。ETA現時点では。
- その間、Systemd サービスのデフォルト設定を変更するか、「PrivateTmp=false」にするPrisma Cloudこのようなプロセスを検出して警告するホスト保護は、セキュリティ上の理由から推奨も推奨もされていません。