Una posibilidad es /proc montado con hidepid=1 o hidepid=2 . Esta opción de montaje se agregó en los últimos kernels de Linux y se retroportó en algún momento alrededor de CentOS 5.9 y 6.3.
Mount options
The proc filesystem supports the following mount options:
hidepid=n (since Linux 3.3)
This option controls who can access the information in
/proc/[pid] directories. The argument, n, is one of the
following values:
0 Everybody may access all /proc/[pid] directories. This is
the traditional behavior, and the default if this mount
option is not specified.
1 Users may not access files and subdirectories inside any
/proc/[pid] directories but their own (the /proc/[pid]
directories themselves remain visible). Sensitive files
such as /proc/[pid]/cmdline and /proc/[pid]/status are now
protected against other users. This makes it impossible
to learn whether any user is running a specific program
(so long as the program doesn't otherwise reveal itself by
its behavior).
2 As for mode 1, but in addition the /proc/[pid] directories
belonging to other users become invisible. This means
that /proc/[pid] entries can no longer be used to discover
the PIDs on the system. This doesn't hide the fact that a
process with a specific PID value exists (it can be
learned by other means, for example, by "kill -0 $PID"),
but it hides a process's UID and GID, which could
otherwise be learned by employing stat(2) on a /proc/[pid]
directory. This greatly complicates an attacker's task of
gathering information about running processes (e.g.,
discovering whether some daemon is running with elevated
privileges, whether another user is running some sensitive
program, whether other users are running any program at
all, and so on).
Otra posibilidad (encontrada por el cartel y agregada a esta respuesta como información de referencia) es grsecurity, que tiene una función para ocultar los procesos de otros usuarios de usuarios sin privilegios como parte del fortalecimiento de su sistema de archivos.
Ocultar procesos de otros usuarios para usuarios sin privilegios
Si bien el kernel ascendente ahora proporciona una opción de montaje para /proc para ocultar los procesos de otros usuarios sin privilegios, grsecurity va más allá al ocultar dicha información de forma predeterminada, ocultando fuentes adicionales de información confidencial proporcionada por el kernel en /proc y ocultando información privada relacionada con la red de todos. usuarios La información de red no solo es una violación de la privacidad de otros usuarios en el sistema, sino que también ha sido útil en el pasado para ataques de secuestro de TCP.
Según la información de las siguientes publicaciones, he identificado 3 posibles soluciones.
- htop muestra solo los procesos del usuario que lo está ejecutando? en Unix y Linux
- https://www.centos.org/forums/viewtopic.php?f=14&t=52563
Qué estados grsecurty pueden hacer que los usuarios no puedan ver los pid de otros usuarios en /proc/ y que OVH (Mi empresa de hosting) utiliza un kernel personalizado compilado con Grsecurity
$ uname -r
3.14.32-xxxx-grs-ipv6-64
las posibles soluciones son:
- eliminar grsecurity
- editar la política para permitir dicho uso
- asegúrese de que los demás administradores conozcan las nuevas medidas de seguridad implementadas
Para mí, educar a los otros administradores es la mejor opción, ya que la seguridad es lo primero. Sin embargo, me gustaría que nos hubieran informado de algo como esto. ¡Gracias por toda su ayuda!