限制 /proc/mounts 以避免暴露 /run/user/

限制 /proc/mounts 以避免暴露 /run/user/

编辑: 目前正在看解决方案..(命名空间),但仍然不介意任何指示我以另一种方式做事。

我们在 CentOS 7.2 上有一个自定义 SELinux 策略,它将用户限制为 user_u 角色的受限形式。其中一部分禁止使用任何访问 btmp/utmp/wtmp 的内容。这是在不使用私有安装命名空间的情况下完成的。我们希望能够限制其他当前登录用户的可见性。

仍然可以通过执行 df 来列出系统上的用户:

tmpfs                              380M     0  380M   0% /run/user/3435
tmpfs                              380M     0  380M   0% /run/user/3434

/proc/self/挂载(最终的指向者从/etc/mtab)将始终列出系统范围的挂载(同样,这没有挂载命名空间)。顺便说一句,(并且在所有相关的情况下),我们有/进程安装有hidepid=2选项。

问题:有谁知道限制 /run/user/... 结束的方法/proc/self/挂载?挂载命名空间尚未被排除,但我们也想探索替代方案。

相关内容