为什么top不需要root(非root程序可以看到其他正在运行的进程吗)?

tag-icon tag-icon command-line permissions
为什么top不需要root(非root程序可以看到其他正在运行的进程吗)?

我一直在尝试弄清楚未以 root 身份运行的应用程序是否可以访问系统上运行的程序列表。我认为答案是否定的,但找不到任何相关信息。这个命令不需要toproot 身份,这对我来说似乎很奇怪,这表明任何应用程序都可以访问此命令。

有办法解决这个问题吗?我认为可以将 /usr/bin/top 的权限设置为 root 吗?

答案1

在 Linux 上,所有用户都可以看到正在运行的进程列表,这是传统做法。虽然它确实揭示了正在运行的软件及其运行权限的信息,但传统上它并不被视为主要的安全风险。

您可以对其进行配置,以便用户看不到进程列表,但这可能会破坏与某些应用程序的兼容性。

更多信息请访问:https://unix.stackexchange.com/questions/244353/why-can-i-list-other-users-processes-without-root-permission

答案2

对于 Ubuntu 和 Linux 发行版,一切都与/proc文件系统有关,其中每个进程都有与其 pid 匹配的目录和列出有关该进程的信息的文件。大多数信息都是公开可访问的,例如进程名称、内存统计信息等。这也很容易通过strace -e trace=open top -b -n1命令查看,它会告诉您top打开一大堆目录和文件/proc以供读取。

对我来说,top 命令不需要 root 权限似乎很奇怪,这表明任何应用程序也可以访问该命令。

这里的关键是,您首先需要访问系统。如果您是系统上的用户,则没有理由隐藏其他进程,因为通过隐藏实现的安全性永远不会奏效。

有办法解决这个问题吗?我认为可以将 /usr/bin/top 的权限设置为 root 吗?

您可以设置权限top,但不会阻止其他程序访问有关正在运行的进程的信息。

/proc您可以使用选项在/etc/fstab文件中设置安装选项hidepid。来自man proc

挂载选项 proc 文件系统支持以下挂载选项:

   hidepid=n (since Linux 3.3)
          This option controls who can access the information in
          /proc/[pid] directories.  The argument, n, is one of the
          following values:

          0   Everybody may access all /proc/[pid] directories.  This is
              the traditional behavior, and the default if this mount
              option is not specified.

          1   Users may not access files and subdirectories inside any
              /proc/[pid] directories but their own (the /proc/[pid]
              directories themselves remain visible).  Sensitive files
              such as /proc/[pid]/cmdline and /proc/[pid]/status are now
              protected against other users.  This makes it impossible
              to learn whether any user is running a specific program
              (so long as the program doesn't otherwise reveal itself by
              its behavior).

          2   As for mode 1, but in addition the /proc/[pid] directories
              belonging to other users become invisible.  This means
              that /proc/[pid] entries can no longer be used to discover
              the PIDs on the system.  This doesn't hide the fact that a
              process with a specific PID value exists (it can be
              learned by other means, for example, by "kill -0 $PID"),
              but it hides a process's UID and GID, which could
              otherwise be learned by employing stat(2) on a /proc/[pid]
              directory.  This greatly complicates an attacker's task of
              gathering information about running processes (e.g.,
              discovering whether some daemon is running with elevated
              privileges, whether another user is running some sensitive
              program, whether other users are running any program at
              all, and so on).

因此,您可能想要的是这样的/etc/fstab

proc            /proc           proc    defaults,hidepid=2        0       0

还有gid一个选项,您可以允许特定用户组(例如管理员组)查看进程信息。它们gid是数字,因此您可以使用类似以下方法gid=1000:仅允许管理员用户和属于其组的其他用户查看进程信息。

您还可以/proc像这样临时重新挂载文件系统(用于测试或其他目的):

mount -o remount,hidepid=2 /proc

相关内容