Gentoo

Скрываем процессы

default/linux/amd64/17.0/systemd

Теория

С версии ядра 3.3.x появилась возможность скрыть список процессов для не привилегированных пользователей, т.о. они могут видеть только собственные процессы.
Для этого в опции монтирования procfs (/proc) необходимо добавить hidepid.

hidepid=0	Опция выкл.
hidepid=1	Пользователь может видеть список процессов /proc/<pid>, но не может получить какую либо информацию о них, например /proc/<pid>/cmdline, кроме своих собственных
hidepid=2	Пользователь не видит список процессов и не может получить доступ к информации о них, кроме своих собственных
gid=<gid>	Опционально можно указать GID, пользователи, которые состоя в этой группе будут иметь привилегированный доступ к /proc. Например для zabbix-agent

Практика

Применим опцию hidepid

mount -o remount,hidepid=2 /proc

Сохраним в fstab

/etc/fstab

none  /proc  proc   rw,nosuid,nodev,noexec,relatime,gid=90,hidepid=2  0 0

Как я понял не во всех дистрибутивах может применяться proc в fstab'e.
Так же опции монтирования по умолчанию для systemd нельзя изменить https://bugzilla.redhat.com/show_bug.cgi?id=1069255

https://wiki.gentoo.org/wiki/Procfs

Обсуждение

Полное имя:

Эл. адрес:

Ваш комментарий. Вики-синтаксис разрешён:

Пожалуйста, решите задачу, чтобы доказать, что вы человек: 114 +14 = Пожалуйста, оставьте это поле пустым:

Подписаться на комментарии