[[ Скрываем процессы ]]

Gentoo

Скрываем процессы

default/linux/amd64/17.0/systemd

Теория

С версии ядра 3.3.x появилась возможность скрыть список процессов для не привилегированных пользователей, т.о. они могут видеть только собственные процессы.
Для этого в опции монтирования procfs (/proc) необходимо добавить hidepid.

hidepid=0 Опция выкл.
hidepid=1 Пользователь может видеть список процессов /proc/<pid>,
но не может получить какую либо информацию о них, например /proc/<pid>/cmdline, кроме своих собственных
hidepid=2 Пользователь не видит список процессов и не может получить доступ к информации о них, кроме своих собственных
gid=<gid> Опционально можно указать GID, пользователи, которые состоя в этой группе будут иметь привилегированный доступ к /proc.
Например для zabbix-agent

Практика

Применим опцию hidepid

mount -o remount,hidepid=2 /proc

Сохраним в fstab

/etc/fstab

none  /proc  proc   rw,nosuid,nodev,noexec,relatime,gid=90,hidepid=2  0 0

Как я понял не во всех дистрибутивах может применяться proc в fstab'e.
Так же опции монтирования по умолчанию для systemd нельзя изменить https://bugzilla.redhat.com/show_bug.cgi?id=1069255






Обсуждение

Ваш комментарий. Вики-синтаксис разрешён:
14 +15 = 
 
howto/gentoo/hidepid.txt · Последнее изменение: 2022/08/31 14:53 — 127.0.0.1
Gentoo Linux Gentoo Linux Driven by DokuWiki