%20%E6%94%BB%E5%87%BB%E7%9A%84%E6%9C%80%E4%BD%B3%E6%96%B9%E6%B3%95%E6%98%AF%E4%BB%80%E4%B9%88%EF%BC%9F%20.png)
我试图对 procfs 进行限制,例如只有某些成员组可以执行读取和写入操作。
内核文件说我们可以通过设置hidepid和gidin 来做到这一点/etc/fstab。它将限制恶意用户在 procfs 上进行读写,但我怀疑恶意用户(在 中受到限制)是否可以/etc/fstab使用 syscall 而不是 fs 操作(如读写)来访问 profs 中的内容。
答案1
/proc 是内核和用户空间之间的接口及其所有内容,并且大多数内容无法以任何其他方式获得(对于 pid 目录下、该进程之外的内容)。因此hidepid=2可以有效地向其他用户隐藏进程的命令行和环境等信息。
一些信息可以通过副作用来确定。例如,可以通过尝试杀死具有给定 pid 的进程来确定该进程的存在,如果进程不存在,如果调用进程没有正确的权限,则使用信号 0:kill()失败。同样,可以通过尝试连接来确定打开的端口。ESRCHEPERM