NFsec Logo

Ukrywanie procesów przed innymi użytkownikami

15/03/2014 w Bezpieczeństwo Brak komentarzy.  (artykuł nr 436, ilość słów: 356)

W

styczniu 2012 Vasiliy Kulikov zaproponował poprawkę do Linuksa, która poprzez dodanie frazy hidepid do opcji montowania wirtualnego systemu plików procfs umożliwia ukrywanie procesów przed użytkownikami, do których dany proces nie należy. Patch został umieszczony w jądrze w wersji 3.3, a w między czasie backportowany do Debiana Wheezy i jego jądra w wersji 3.2 oraz RedHat Enterprise Linux 6.3 (2.6.32), jak i 5.9 (2.6.18).

Wartości jakie może przyjmować opcja hidepid to:

  • 0 – standardowe zachowanie systemu, jakie było dotychczas,
  • 1 – użytkownik widzi tylko swoje procesy i ma wgląd do ID innych w /proc,
  • 2 – użytkownik widzi tylko swoje procesy i ma wgląd tylko do swoich ID w /proc.

Istnieje jeszcze opcja gid, w której możemy podać ID grupy, która ma zostać wykluczona z w/w ograniczeń. W środowiskach, gdzie użytkownicy współdzielą powłoki systemowe lub procesy posiadają w swoich opcjach startowych parametry zawierające hasła lub inne wrażliwe dane – zalecany jest poziom 2. Montowanie /proc z nowymi opcjami możemy zmienić w locie:

# mount | grep ^proc
proc on /proc type proc (rw,relatime)
# mount -o remount,hidepid=2,gid=33 /proc
# mount | grep ^proc
proc on /proc type proc (rw,relatime,hidepid=2,gid=33)

i upewnić się, że opcje będą nakładane przy starcie systemu – /etc/fstab:

# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults,hidepid=2,gid=33        0       0

Według ostatnich informacji od Debian Security Team prawdopodobnie w przyszłości opcja ta w tej dystrybucji będzie ustawiana standardowo w systemie na 1.

Więcej informacji: Process hiding: hidepid capabilities of procfs

Kategorie K a t e g o r i e : Bezpieczeństwo

Tagi T a g i : , , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.