Eine Möglichkeit ist /proc montiert entweder mit hidepid=1 oder hidepid=2 . Diese Mount-Option wurde in späteren Linux-Kerneln hinzugefügt und irgendwann um CentOS 5.9 und 6.3 herum zurückportiert.
Mount options
The proc filesystem supports the following mount options:
hidepid=n (since Linux 3.3)
This option controls who can access the information in
/proc/[pid] directories. The argument, n, is one of the
following values:
0 Everybody may access all /proc/[pid] directories. This is
the traditional behavior, and the default if this mount
option is not specified.
1 Users may not access files and subdirectories inside any
/proc/[pid] directories but their own (the /proc/[pid]
directories themselves remain visible). Sensitive files
such as /proc/[pid]/cmdline and /proc/[pid]/status are now
protected against other users. This makes it impossible
to learn whether any user is running a specific program
(so long as the program doesn't otherwise reveal itself by
its behavior).
2 As for mode 1, but in addition the /proc/[pid] directories
belonging to other users become invisible. This means
that /proc/[pid] entries can no longer be used to discover
the PIDs on the system. This doesn't hide the fact that a
process with a specific PID value exists (it can be
learned by other means, for example, by "kill -0 $PID"),
but it hides a process's UID and GID, which could
otherwise be learned by employing stat(2) on a /proc/[pid]
directory. This greatly complicates an attacker's task of
gathering information about running processes (e.g.,
discovering whether some daemon is running with elevated
privileges, whether another user is running some sensitive
program, whether other users are running any program at
all, and so on).
Eine andere Möglichkeit (vom Poster gefunden und als Referenzinformationen zu dieser Antwort hinzugefügt) ist grsecurity, das eine Funktion zum Ausblenden der Prozesse anderer Benutzer vor nicht privilegierten Benutzern als Teil der Dateisystemhärtung bietet.
Verbergen Sie die Prozesse anderer Benutzer für nicht privilegierte Benutzer
Während der Upstream-Kernel jetzt eine Mount-Option für /proc bereitstellt, um die Prozesse anderer unprivilegierter Benutzer zu verbergen, geht grsecurity darüber hinaus, indem es solche Informationen standardmäßig versteckt, zusätzliche Quellen sensibler Informationen versteckt, die vom Kernel in /proc bereitgestellt werden, und alle privaten netzwerkbezogenen Informationen versteckt Benutzer. Die Netzwerkinformationen stellen nicht nur eine Verletzung der Privatsphäre anderer Benutzer des Systems dar, sondern waren in der Vergangenheit auch für TCP-Hijacking-Angriffe nützlich.
Basierend auf den Informationen aus den folgenden Beiträgen habe ich 3 mögliche Lösungen identifiziert.
- htop zeigt nur die Prozesse des Benutzers, der es ausführt? auf Unix &Linux
- https://www.centos.org/forums/viewtopic.php?f=14&t=52563
Welche Zustände grsecurty bewirken können, dass die Benutzer die PIDs anderer Benutzer in /proc/ nicht sehen können und dass OVH (Mein Hosting-Unternehmen) einen benutzerdefinierten Kernel verwendet, der mit Grsecurity kompiliert wurde
$ uname -r
3.14.32-xxxx-grs-ipv6-64
mögliche Auflösungen sind:
- grsecurity entfernen
- Richtlinie bearbeiten, um eine solche Verwendung zuzulassen
- Stellen Sie sicher, dass die anderen Administratoren auf die neuen Sicherheitsmaßnahmen aufmerksam gemacht werden
Für mich ist es die beste Option, die anderen Administratoren zu unterrichten, da die Sicherheit an erster Stelle steht. Trotzdem wünschte ich mir, sie hätten uns über so etwas informiert. Vielen Dank für all Ihre Hilfe!