Änderungen
Wenn man mehrere User auf einem Rechner hat, kann normalerweise jeder beobachten, was die anderen User grade machen. Man sieht welche Programme und Dateien grade geöffnet sind, wie viel Ram ein User verbraucht, und in einigen Situationen ist es sogar möglich Passwörter, welche als Parameter an ein Programm übergeben worden, auszulesen.
Normalerweise sollte man verhindern über die Prozessliste sensitive Informationen zu “veröffentlichen”, aber das ist leider manchmal gar nicht so einfach: Zum Beispiel ein Installer-Script von irgendeiner Software könnte versuchen eine Datei herunterzuladen, und sendet dafür die Seriennummer mit, welche dann als wget-Parameter in der Prozessliste erscheint, da hilft die beste Verschlüsselung nichts.
Schnelle Abhilfe schafft hier die “hidepid”-Mount-Option für /proc:
Ein mount -o remount,hidepid=2 /proc später sehen die User nur noch ihre eigenen Prozesse.
Um das auch nach einem Reboot zu behalten kann man folgendes in /etc/fstab eintragen:
proc /proc proc defaults,hidepid=2 0 0
https://www.kernel.org/doc/Documentation/filesystems/proc.txt
Unter “4.1 Mount options” gibt es noch ein paar mehr Details dazu
Quelle: https://lukas.im/blog/2014/07/22/prozessliste-vor-usern-verstecken/
[[Kategorie:SSH]][[Kategorie:Sicherheit]]
Normalerweise sollte man verhindern über die Prozessliste sensitive Informationen zu “veröffentlichen”, aber das ist leider manchmal gar nicht so einfach: Zum Beispiel ein Installer-Script von irgendeiner Software könnte versuchen eine Datei herunterzuladen, und sendet dafür die Seriennummer mit, welche dann als wget-Parameter in der Prozessliste erscheint, da hilft die beste Verschlüsselung nichts.
Schnelle Abhilfe schafft hier die “hidepid”-Mount-Option für /proc:
Ein mount -o remount,hidepid=2 /proc später sehen die User nur noch ihre eigenen Prozesse.
Um das auch nach einem Reboot zu behalten kann man folgendes in /etc/fstab eintragen:
proc /proc proc defaults,hidepid=2 0 0
https://www.kernel.org/doc/Documentation/filesystems/proc.txt
Unter “4.1 Mount options” gibt es noch ein paar mehr Details dazu
Quelle: https://lukas.im/blog/2014/07/22/prozessliste-vor-usern-verstecken/
[[Kategorie:SSH]][[Kategorie:Sicherheit]]