Restringir / proc / mounts para evitar a exposição de / run / user /

2

EDITAR : no momento, olhando para solução .. (namespaces), mas ainda não me importaria com qualquer indicação para fazer o que eu estou atrás de outra maneira.

Temos uma política personalizada do SELinux no CentOS 7.2, que confina os usuários a uma forma restrita da função user_u. Parte disso desativa o uso de qualquer coisa que acesse btmp / utmp / wtmp. Isso é feito sem o uso de um namespace de montagem particular. Gostaríamos de poder restringir a visibilidade de outros usuários conectados no momento.

Ainda é possível listar os usuários no sistema fazendo um df:

tmpfs                              380M     0  380M   0% /run/user/3435
tmpfs                              380M     0  380M   0% /run/user/3434

/ proc / self / mounts (o último ponto inicial a partir de / etc / mtab ) sempre listará as montagens em todo o sistema (novamente, isso é sem namespaces de montagem ). Como um aparte, (e caso seja relevante), temos / proc montado com a opção hidepid = 2 .

Pergunta : Alguém sabe uma maneira de restringir / run / user / ... de acabar em / proc / self / mounts ? Os namespaces de Mount ainda não foram descartados, mas gostaríamos de explorar alternativas também.

    
por swisscheese 17.06.2016 / 15:49

0 respostas