Когда злой каккер получает доступ к системе от имени непривилегированного пользователя, он начинает изучать работающие сервисы, чтобы подобрать эксплоит и получить права root. Удивительно, но в этом ему помогает штатная команда ps, предательски выводящая полный список работающих процессов.
Еще одна опасность команды ps в том, что она показывает и аргументы, с которыми была запущенна каждая программа. Через аргументы иногда передаются логины или даже пароли.
Чтобы просмотреть полный список всех процессов, команду ps нужно запустить с опциями aux:
ps aux
Совершенно очевидно, безопасная система не должна обладать таким поведением и должна показывать только те процессы, которые принадлежат пользователю. Для ценителей безопасности разработчики ядра придумали специальную опцию hidepid=2. Перемонтируем файловую систему /proc с данной опцией:
sudo mount -o remount,rw,hidepid=2 /proc
Теперь пользователь может видеть только свои процессы, даже если прибегнет к помощи опции aux:
Осталось только модифицировать /etc/fstab для того, чтобы защита работала и после перезагрузки:
proc /proc proc defaults,hidepid=2 0 0
9 часа 7 минуты назад
10 часа 13 минуты назад
10 часа 19 минуты назад
10 часа 26 минуты назад
10 часа 35 минуты назад
10 часа 39 минуты назад
10 часа 42 минуты назад
17 часа 24 минуты назад
21 часа 14 минуты назад
1 день 3 часа назад