Улучшаем безопасность команды ps

Когда злой каккер получает доступ к системе от имени непривилегированного пользователя, он начинает изучать работающие сервисы, чтобы подобрать эксплоит и получить права root. Удивительно, но в этом ему помогает штатная команда ps, предательски выводящая полный список работающих процессов.

Еще одна опасность команды ps в том, что она показывает и аргументы, с которыми была запущенна каждая программа. Через аргументы иногда передаются логины или даже пароли.

Чтобы просмотреть полный список всех процессов, команду ps нужно запустить с опциями aux:

ps aux

Совершенно очевидно, безопасная система не должна обладать таким поведением и должна показывать только те процессы, которые принадлежат пользователю. Для ценителей безопасности разработчики ядра придумали специальную опцию hidepid=2. Перемонтируем файловую систему /proc с данной опцией:

sudo mount -o remount,rw,hidepid=2 /proc

Теперь пользователь может видеть только свои процессы, даже если прибегнет к помощи опции aux:

Осталось только модифицировать /etc/fstab для того, чтобы защита работала и после перезагрузки:

proc            /proc           proc    defaults,hidepid=2          0       0