Como posso desativar o / pseudo-sistema de arquivos em um ambiente Linux compartilhado?

2

É possível desabilitar o pseudo sistema de arquivos /proc para impedir que w , ps , top , etc. mostre o que outros usuários estão fazendo? Claro, eu ainda quero que "tudo mais" funcione corretamente. Existe uma maneira viável de fazer isso?

    
por Fixee 26.02.2011 / 07:07

2 respostas

8

Existe o patchset grsecurity (incluído no SELinux, mas não tem o sistema de permissão MAC complicado do último) para o kernel Linux que oferece a opção de permitir que apenas o proprietário (e root) veja seus processos. Ele também oferece outras guloseimas sem ser tão intrusivo quanto o SELinux.

Uma opção semelhante está lá no Solaris, ou pelo menos foi o que ouvi.

    
por 26.02.2011 / 12:58
5

Se você desativar /proc , muitas coisas deixarão de funcionar. Você não só não poderá usar ps e company, mesmo para ver seus próprios processos, mas muitas ferramentas e serviços não poderão ser executados. Olhando para o computador que estou escrevendo, processos que têm um arquivo em /proc open incluem mdadm (RAID), Xorg (GUI), hald (dispositivos hotpluggable), acpid (ACPI) rpc.mount (servidor NFS).

Pode ser viável fornecer /proc permissions 550 (ou seja, não legível ao mundo), group proc-readers e colocar todos os serviços que usam /proc , mas não estão sendo executados como root no proc-readers grupo. Eu nunca tentei; esta é uma proposta experimental, não é algo para fazer em uma máquina de produção.

Use SELinux ou virtualização para isolar ainda mais os usuários.

    
por 26.02.2011 / 12:37