Eu tenho um grande problema: o setfacl parece não funcionar para / proc e / sys, mas eu gostaria de restringir um direitos de usuários específicos e não acho aceitável que o usuário leia coisas como / proc / cpuinfo etc. (O usuário não deve ser capaz de coletar informações de hardware sobre o sistema)
Como eu faria isso no Ubuntu? O Apparmor é mais para restringir aplicativos, mas não para usuários. Parece Selinux é a única possibilidade neste caso, certo?
Eu trabalhei no meu script desta maneira:
# restrict read access to /sys and /proc
sudo chmod -r /sys
sudo chmod -r /proc/acpi
sudo chmod -r /proc/asound
sudo chmod -r /proc/bus
sudo chmod -r /proc/cgroups
sudo chmod -r /proc/consoles
sudo chmod -r /proc/cpuinfo
sudo chmod -r /proc/crypto
sudo chmod -r /proc/devices
sudo chmod -r /proc/diskstats
sudo chmod -r /proc/dma
sudo chmod -r /proc/dri
sudo chmod -r /proc/driver
sudo chmod -r /proc/execdomains
sudo chmod -r /proc/fb
sudo chmod -r /proc/filesystem
# ...
Agora gostaria de saber se isso poderia criar sérios problemas se eu simplesmente removesse o acesso de leitura a esses arquivos (eu removia apenas os direitos de leitura dos arquivos que possuem nomes, não dos diretórios de números), além de algumas ferramentas de monitoramento do sistema não funcionarem com direitos de usuário (como top, lscpu)?
Além dos problemas criados por outros usuários, essa solução é totalmente deselegante.
Eu também não quero compilar e manter um kernel do grsecurity, isso cria muitos problemas.
Para restringir o acesso a /proc , use a opção hidepid durante a montagem de /proc . Adicione ao seu fstab (ou edite se já houver uma entrada):
proc /proc proc defaults,hidepid=2 0 0
Você pode usar a opção gid para ativar o acesso a um grupo específico. Consulte o link para obter mais detalhes.