Назад | Перейти на главную страницу

Как запретить пользователям видеть другие процессы?

Обычно это одна из функциональных возможностей (например) grsecurity - пользователь видит только свои собственные процессы, а не все остальные.

Но - я бы предпочел не устанавливать grsecurity - возможно, что-то подобное можно сделать более простым способом?

Я использую Linux Debian.

нет необходимости в контейнерах, просто используйте какую-то новую ОС https://linux-audit.com/linux-system-harpting-adding-hidepid-to-proc/

https://www.linux-dev.org/2012/09/hide-process-information-for-other-users/

hidepid - это новый параметр монтирования для procfs (/ proc), с помощью которого вы можете скрыть процессы и их информацию для других пользователей, таких как другие пользователи оболочки и веб-скрипты.

hidepid принимает три разных значения:

hidepid = 0 (по умолчанию): это настройка по умолчанию, обеспечивающая поведение по умолчанию.

hidepid = 1: с этой опцией обычный пользователь не будет видеть другие процессы, кроме своих, о ps, top и т. д., но он по-прежнему может видеть идентификаторы процессов в / proc

hidepid = 2: Пользователи могут видеть только свои собственные процессы (например, с hidepid = 1), но также и другие идентификаторы процессов скрыты для них в / proc!

Дополнительно вы можете указать идентификатор пользователя / группы, который все еще может искать процессы с помощью опции gid. Итак, если вы хотите скрыть все процессы для других пользователей, кроме root (uid = 0) и в этом примере gid = 1001 (какой-то полуадминистративный пользователь в этом примере), ваш / etc / fstab должен выглядеть так:

proc / proc по умолчанию: hidepid = 2, gid = 1001 0 0

В зависимости от того, чего вы пытаетесь достичь, вы можете изучить контейнеры Linux:

Это легкий механизм виртуализации, который позволяет создавать изолированные группы ресурсов в вашей системе Linux. Контейнеры Linux (LXC) используют поддержку пространства имен, которая присутствует в ядре Linux в течение последних нескольких лет; эта страница:

Имеются ссылки на статьи, в которых обсуждаются различные аспекты этой работы.

Это может оказаться большим решением, чем вы ищете, но это очень интересная технология.