Restringindo / usr / bin / top ao usuário atual com o AppArmor

Question

Restringindo / usr / bin / top ao usuário atual com o AppArmor

#1 resposta do (2 votos)
#2 resposta do (1 votos)

1

É possível restringir /usr/bin/top no Linux com o AppArmor para exibir apenas os processos do usuário atual? Além disso, /bin/ls /proc não deve mostrar nenhum dos PIDs pertencentes a outros usuários.

linux

por pts 11.12.2010 / 15:31

2 respostas

2

A única maneira de fazer isso é instalar um patch de kernel. Eu recomendo grSecurity . Isso mostrará apenas os processos dos usuários em um ps e também deve limitá-lo via top. Se isso não acontecer, a melhor coisa a fazer nesse caso é

chmod 700 /usr/bin/top

Apenas o root pode executá-lo. A maioria dos usuários de shell nunca precisaria do topo

por 11.12.2010 / 20:14

Tags linux

vsftpd parece desregular umask Erro ao adicionar usuários em massa no AD com o script do PowerShell

score 1 · Accepted Answer

Resposta curta

Não, isso não é algo que você possa fazer facilmente com o AppArmor. Não é difícil modificar top e ls para fazer isso, mas ignorar essas mudanças é trivial (role seus próprios ls e top). Modificar o acesso ao sistema de arquivos / proc provavelmente interromperá muitos aplicativos.

Resposta longa

O Linux não possui essa funcionalidade incorporada até onde eu sei. Você teria que modificar o kernel para garantir que nenhuma chamada de sistema possa vazar informações sobre processos em execução para outros usuários, mas esse é um grande projeto. E a questão permanece ... Por quê? Se um usuário tiver acesso ao shell em seu servidor, o usuário pode fazer muitas coisas desagradáveis. Se você quiser restringir um usuário para que ele não possa interagir com o resto do servidor, você deve colocá-lo em algum tipo de contêiner. Máquinas virtuais são excelentes para isso.