是否可以禁用/proc伪文件系统以防止w、ps、top等显示其他用户正在做什么?当然,我仍然希望“其他一切”都能正常工作。有可行的方法来做到这一点吗?
答案1
有的是网络安全Linux 内核的补丁集(包含在 SELinux 中,但没有后者极其复杂的 MAC 权限系统),它提供了只允许所有者(和 root)查看他/她的进程的选项。它还提供了其他好处,但不像 SELinux 那样具有侵入性。
Solaris 上也有类似的选项,至少我是这么听说的。
答案2
如果禁用/proc,很多事情都会停止工作。你不仅无法使用ps和陪伴,甚至看不到自己的流程,而且很多工具和服务将无法运行。看看我正在写这篇文章的计算机,打开文件的进程/proc包括mdadm(RAID)、Xorg(GUI)、hald(热插拔设备)、acpid(ACPI)、rpc.mount(NFS 服务器)。
授予/proc权限 550(即非世界可读)、 groupproc-readers并将所有使用/proc但不以 root 身份运行的服务放在该proc-readers组中可能是可行的。我从来没有试过;这是一个实验建议,而不是在生产机器上做的事情。