rkhunter und chkrootkit

Ob rkhunter und chkrootkit sinnvoll für Dich und Deine Zwecke sind, oder ob sie Dich vielmehr nur verunsichern, das kannst nur Du alleine entscheiden. Welche Intention hast Du denn bzw. mit welchem Ziel willst Du die Programme nutzen?

Ich selber hatte beide in der Vergangenheit auf Servern laufen. Aber wie Du selber schon festgestellt hast, liefern die Programme durchaus auch eine Menge false positives, die man eben herausfiltern muß.

Dein konkreter Fall ist ein gutes Beispiel: Shared Memory ist grundsätzlich nichts Ungewöhnliches. Es ist, wie der Name schon sagt, einfach ein Speicherbereich, der zwischen verschiedenen Prozessen geteilt wird. Wie man sich aber auch leicht vorstellen kann, birgt das natürlich ein gewisses Sicherheitsrisiko, da Schadsoftware auf einen solchen geteilten Speicherbereich zugreifen und dort Schaden anrichten kann. Das ist auch der Grund, warum rkhunter auf Prozesse anschlägt, die vermeintlich einen (zu) großen Teil des geteilten Speichers verwenden (rkhunter schlägt, wie in der Warnung zu sehen ist, bereits bei einem Speicherbereich > 1MB an), weil es diese als potentiell von Schadsoftware befallene Prozesse kategorisiert. Das Problem dabei ist, daß es durchaus nicht ungewöhnlich ist, daß Prozesse mehr als nur 1MB des geteilten Speichers verwenden.

Hier ist es dann also die Aufgabe des Benutzers/Administrators auf die Suche zu gehen und abzuwägen, ob die Warnung, oder der eigentliche Prozeß legitim ist.

Persönlich glaube ich, schaden die Programme natürlich nicht. Aber man kommt nicht umhin, sich auch etwas mit deren Meldungen zu beschäftigen; und -- wie immer -- ganz wichtig: sie garantieren keine 100% Sicherheit! Man sollte sich also niemals blind darauf verlassen. Im Falle von rkhunter sollte man auch im Hinterkopf behalten, daß das Programm schon lange nicht mehr weiterentwickelt wurde (die letzte Version, 1.4.6, ist aus Februar 2018!). Ich würde mich deshalb u.U. nach etwas modernerem zum Schutz meiner Systeme umsehen.