限制 /proc fs 免受恶意用户 (linux) 攻击的最佳方法是什么?

限制 /proc fs 免受恶意用户 (linux) 攻击的最佳方法是什么?

我试图对 procfs 进行限制,例如只有某些成员组可以执行读取和写入操作。

内核文件说我们可以通过设置hidepidgidin 来做到这一点/etc/fstab。它将限制恶意用户在 procfs 上进行读写,但我怀疑恶意用户(在 中受到限制)是否可以/etc/fstab使用 syscall 而不是 fs 操作(如读写)来访问 profs 中的内容。

答案1

/proc 内核和用户空间之间的接口及其所有内容,并且大多数内容无法以任何其他方式获得(对于 pid 目录下、该进程之外的内容)。因此hidepid=2可以有效地向其他用户隐藏进程的命令行和环境等信息。

一些信息可以通过副作用来确定。例如,可以通过尝试杀死具有给定 pid 的进程来确定该进程的存在,如果进程不存在,如果调用进程没有正确的权限,则使用信号 0:kill()失败。同样,可以通过尝试连接来确定打开的端口。ESRCHEPERM

相关内容