Piccolo e allo stesso tempo grande articolo di Steve su http://www.debian-administration.org/.
—
Se si esegue un sistema multi-utente si può aumentare la sicurezza se si nasconde la visualizzazione dei processi in esecuzione, ed i loro argomenti ad altri utenti. Questo consente di evitare problemi se gli utenti inseriscono le password sulla riga di comando, e simili.
Se si sta utilizzando un kernel recente, (versione 3.2 o superiore), è possibile ottenere questo beneficio montando il filesystem /proc con la nuova opzione hidepid:
| Value | Meaning |
|---|---|
| 0 | Questa è l’impostazione predefinita e dà il comportamento predefinito. |
| 1 | Con questa opzione, un utente normale non vede altri processi, ma solo i propri in ps, top, ecc, ma è ancora in grado di vedere gli ID di processo sotto /proc |
| 2 | Gli utenti sono in grado di vedere i propri processi (come con hidepid = 1), ma anche tutti gli altri ID di processo sono nascosti a loro se manualmente vanno in giro sotto /proc |
Vale la pena notare che con i valori impostati a sicuro (“1” o “2”) tutti i processi rimangono visibili all’utente root.
Se si decide che si desidera abilitare questa protezione è possibile modificare l’opzione di mount in modo interattivo eseguendo:
# mount -o remount /proc -o hidepid=2
Per garantire che questo avvenga automaticamente in fase di boot è possibile aggiornare il file /etc/fstab mettendo qualcosa di simile a questo:
proc /proc proc defaults,hidepid=2 0 0
Con questo in atto un utente vedrà solo i propri processi come output di top, ps, & etc:
s-blog@www:~$ ps -ef UID PID PPID C STIME TTY TIME CMD s-blog 848 32483 0 08:55 pts/1 00:00:00 ps -ef s-blog 32483 32482 0 08:54 pts/1 00:00:00 -bash
L’utenza root potrà ancora vedere tutti i processi, però, per il debugging.
Secondo un recente post del Debian Security Team sembra probabile che l’opzione hidepid sarà proposta come default in futuro.
Popular Posts:
- None Found
