在 Linux Raspbian 系统上,我执行了各种安全检查,其中我执行了 rkhunter 扫描以寻找 rootkit、后门和其他恶意软件,并出现以下警告:
警告:发现预加载的共享库:/usr/lib/arm-linux-gnueabihf/libarmmem-${PLATFORM}.so
这可能是一个共享库,提供一种访问和管理 ARM 平台上的内存的方法,例如系统级内存管理,并可以访问关键系统资源。
据我所知,预加载的共享库存在安全风险,这意味着它可以完全访问用户数据、系统资源和用户权限,并且可能被操纵以获取对安全信息或资源的访问权限。
我已经搜索了有关此类预加载共享库的特定文档,但没有找到任何有关它的文档。
我正在寻找此类预加载共享库的文档,以便更好地了解它是否存在安全问题。
我查看了可用的帖子,但没有一个回答我的问题。
非常感谢任何支持。
答案1
共享库被预加载意味着它在任何其他普通库被加载之前就被加载到内存中。如果预加载的库是恶意的,那么这可能是一个安全问题,因为它可能会覆盖函数并可能访问敏感数据。
就您而言,liarmmem-${PLATFORM}.so 听起来像是与 ARM 内存管理相关的库。但是,${PLATFORM} 占位符的存在表明这是根据软件运行的平台动态确定的。它通常用于合法目的,但如果恶意实体放置了同名的库,则可能会出现问题。
您可以按照以下步骤进行进一步调查:
检查库:使用 nm、objdump、ldd、strings 或类似工具检查二进制文件中的符号、依赖项和任何可读文本。这可能会给你提供关于其用途的线索。例如,你可以使用字符串在二进制文件中查找可读字符串:
strings /usr/lib/arm-linux-gnueabihf/libarmmem-${PLATFORM}.so
检查软件包:如果此库来自通过软件包管理器安装的软件包,则可以检查其文档、源代码和其他文件。对于基于 Debian 的系统(如 Raspbian),您可以使用 dpkg -S 命令查找文件来自的软件包:
dpkg -S /usr/lib/arm-linux-gnueabihf/libarmmem-${PLATFORM}.so
一旦您知道该包,您可以使用 apt-cache showpkg 来获取有关它的更多信息,并可能找到它的源代码或文档。
检查更新:确保您的系统和所有软件包都已更新。如果此库是合法软件包的一部分,则更新可能包含重要的安全修复程序。
联系社区:如果您仍然不确定,可以尝试联系 Raspberry Pi 或更广泛的 Linux 社区。有人可能熟悉这个特定的库,尤其是如果它与常见的软件包或用例相关。
考虑进行专业安全审计:如果此系统至关重要,并且您怀疑存在严重的安全问题,那么进行专业安全审计可能是值得的。有些公司专门从事此类工作,他们拥有彻底调查潜在安全问题的工具和专业知识。