Come personalizzare i permessi / proc?

Naviga le tue risposte
4

In questo modo:

  • Solo i proprietari dei processi e root possono accedere alle informazioni sui loro processi,
  • Oppure, come minimo, le autorizzazioni cmdline sono leggibili solo da root e
  • Il mio sistema (CentOS 6.x) è ancora in esecuzione

Perché mi interessa?

Stavo solo parlando con alcuni sviluppatori che penso come persone esperte, e solo uno su tre sapeva che, per impostazione predefinita, gli argomenti della riga di comando per l'esecuzione di programmi sono leggibili da tutto il mondo.

Per inciso, l'argomento è venuto fuori perché stavo prendendo in giro uno di loro (mio fratello) per aver passato una password tramite la linea di comando e lui non l'ha capito, e ora sono preoccupato idioti bene il che significa che gli sviluppatori malintenzionati potrebbero aver scritto programmi che effettivamente utilizzo e che i miei token di autenticazione potrebbero essere stupidamente e volutamente trasmessi via linea di comando da alcuni OSS che ho in esecuzione sulla mia casella.

Credito extra

Se potessi fornire soluzioni per altri sapori * nix che non usano / proc ma permetti l'uso di elenchi di comandi (ad es. FreeBSD), sarebbe molto apprezzato.

    
posta Parthian Shot 09.07.2014 - 20:33
fonte

1 risposta

3

Nel kernel Linux 3.3, questo viene fatto con le opzioni di hidepid= e gid= per /proc (da aggiungere in /etc/fstab ). Vedi questa risposta . Probabilmente, alcune distribuzioni che usano kernel più vecchi potrebbero aver sostituito la patch.

Su FreeBSD c'è un flag sysctl, chiamato security.bsd.see_other_uids . Vedi questa documentazione (cerca "see_other_uids").

Non sono sicuro che altri sistemi simili a Unix abbiano caratteristiche simili. Apparentemente, nel 2011, non c'era nulla di simile in OpenBSD (questo è quello che deduco da quella discussione ).

Si potrebbe dire che tali cose sono importanti solo se si lascia che le persone ostili eseguano il loro codice sulla propria macchina, che è il tradizionale concetto di "mainframe Unix", ma al giorno d'oggi sempre più irrilevante. Nel 2014, quando le persone che non si fidano l'una dell'altra condividono lo stesso hardware, in realtà eseguono macchine virtuali che non si vedono.

    
risposta data 09.07.2014 - 21:08
fonte

Leggi altre domande sui tag

Autenticazione dell'API REST utilizzando il token di accesso Fornire agli utenti inesistenti con sali falsi impedisce l'enumerazione degli utenti?