Mar 272014
 

Piccolo e allo stesso tempo grande articolo di Steve su http://www.debian-administration.org/.

Se si esegue un sistema multi-utente si può aumentare la sicurezza se si nasconde la visualizzazione dei processi in esecuzione, ed i loro argomenti ad altri utenti. Questo consente di evitare problemi se gli utenti inseriscono le password sulla riga di comando, e simili.




Se si sta utilizzando un kernel recente, (versione 3.2 o superiore), è possibile ottenere questo beneficio montando il filesystem /proc con la nuova opzione hidepid:

Value Meaning
0 Questa è l’impostazione predefinita e dà il comportamento predefinito.
1 Con questa opzione, un utente normale non vede altri processi, ma solo i propri in ps, top, ecc, ma è ancora in grado di vedere gli ID di processo sotto /proc
2 Gli utenti sono in grado di vedere i propri processi (come con hidepid = 1), ma anche tutti gli altri ID di processo sono nascosti a loro se manualmente vanno in giro sotto /proc

Vale la pena notare che con i valori impostati a sicuro (“1” o “2”) tutti i processi rimangono visibili all’utente root.

Se si decide che si desidera abilitare questa protezione è possibile modificare l’opzione di mount in modo interattivo eseguendo:

# mount -o remount /proc -o hidepid=2

Per garantire che questo avvenga automaticamente in fase di boot è possibile aggiornare il file /etc/fstab mettendo qualcosa di simile a questo:

proc    /proc    proc    defaults,hidepid=2     0     0

Con questo in atto un utente vedrà solo i propri processi come output di topps, & etc:

s-blog@www:~$ ps -ef
UID        PID  PPID  C STIME TTY          TIME CMD
s-blog     848 32483  0 08:55 pts/1    00:00:00 ps -ef
s-blog   32483 32482  0 08:54 pts/1    00:00:00 -bash

L’utenza root potrà ancora vedere tutti i processi, però, per il debugging.

Secondo un recente post del Debian Security Team sembra probabile che l’opzione hidepid sarà proposta come default in futuro.

Popular Posts:

Flattr this!

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)

*