LINUX.ORG.RU
решено ФорумAdmin

настройка ps и безопасность


0

0

доброго время суток всем линух-экспертам.

скажите, можно ли как-то настроить ps, чтоб он не показывал чужие процессы? и чтоб список процессов всех пользователей мог видеть только рут.

спасибо

а, забыл сказать. дистриб убунту.

heisenberg ★★ ()

что-то ничего приличного не приходит в голову, но я в этих ваших линуксах не силен.

если надо ограничить только ps, можно конечно заменить его любым удобным способом на его же запускалку, которая предварительно делает grep -v $USERNAME. но это нихера не секурно, ибо обходиться на раз-два.

ты мне вот скажи, зачем оно тебе надо? какую конкретно цель ты преследуешь? тогда может что-то получше посоветуют

val-amart ★★★★★ ()

Раньше юзали ядерные патчи типа grsecure, можно ли это провернуть при помощи SElinux, не знаю, скорее всего можно.

sdio ★★★★★ ()

Можно засунуть каждого юзера в свой контейнер (LXC или OpenVZ). Правда, там еще служебные процессы будут, но других реальных юзеров все-таки не видно.

Или просто на фряху перейти, если данный пунктик так беспокоит :)

nnz ★★★★ ()
Ответ на: комментарий от nnz

Или просто на фряху перейти

А там шито такое есть? По джейлами чтоли всех рассовывать или есть кошерный способ? У меня просто айзен заигнорен и я не в курсе последних новостей.

BigAlex ★★★ ()

у меня есть решение в виде LKM, но оно для OBSD, как там в линуксах, я не знаю

beastie ★★★★★ ()
Ответ на: комментарий от val-amart

>ты мне вот скажи, зачем оно тебе надо?

ну, в процессах видны всякие вещи такие, которые не очень хочется показывать. например, пути к конфигам. типа mysql --defaults-file=что-то-там. ну это для примера. обычно все это запихивается куда-то в директорию, ставится ей o=x, и никто там ниче не видит. а конфиг прямой путь в поддиректории открывает

heisenberg ★★ ()
Ответ на: комментарий от BigAlex

>А там шито такое есть? По джейлами чтоли всех рассовывать или есть кошерный способ?

Там есть кошерный способ:
sysctl security.bsd.see_other_uids=0
sysctl security.bsd.see_other_gids=0

nnz ★★★★ ()

всё равно можно будет обойти. это нужно не в ps закрывать, а на уровне ядреных вызовов.

melkor217 ★★★★★ ()
Ответ на: комментарий от nnz

Лорчую контейнеры.
Это из быстрых способов.
А если есть время, стоит разобраться с selinux.

power ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.