Я пытался выяснить, имеет ли приложение, которое не запущено как корень, доступ к списку запущения программ в системе. Я предположил бы, что ответ не, но не смог найти что-либо об этом. Это кажется нечетным мне что top
команда не требует корня, который предположил бы, что любое приложение могло также получить доступ к этой команде.
Существует ли путь вокруг этого? Я предполагаю, что было бы возможно просто установить полномочия/usr/bin/top базироваться?
На Linux традиционно для всех пользователей смочь видеть список выполнения процессов. В то время как это действительно показывает информацию о том, что выполняет программное обеспечение и какие полномочия это выполняет как, это традиционно не рассмотрело основной угрозы безопасности.
можно настроить его так, чтобы пользователи не видели список процессов, хотя это может повредить совместимость с некоторыми приложениями.
[еще 113] информация в: https://unix.stackexchange.com/questions/244353/why-can-i-list-other-users-processes-without-root-permission
В случае дистрибутивов Ubuntu и Linux все имеет отношение /proc
файловая система, где каждый процесс имеет каталог, который соответствует его pid и файлам, которые перечисляют информацию о процессе. Большая часть информации публично доступна, такова как имена процесса, статистика памяти, и т.д. С этим также легко видеть strace -e trace=open top -b -n1
команда, которая скажет Вам это top
открывает целый набор каталогов и файлов в /proc
для чтения.
Это кажется нечетным мне, что главная команда не требует корня, который предположил бы, что любое приложение могло также получить доступ к этой команде.
Ключ здесь - то, что Вам нужен доступ к системе во-первых. Если Вы - пользователь в системе, нет никакой причины скрыть другие процессы от Вас, так как безопасность через мрак никогда не работает.
Существует ли путь вокруг этого? Я предполагаю, что было бы возможно просто установить полномочия/usr/bin/top базироваться?
Можно установить полномочия top
, за исключением того, что не будет препятствовать тому, чтобы другие программы получили доступ к информации о выполнении процессов.
Можно установить варианты монтажа для /proc
в /etc/fstab
файл с hidepid
опция. От man proc
:
Смонтируйте опции proc поддержки файловой системы, следующее монтирует опции:
hidepid=n (since Linux 3.3)
This option controls who can access the information in
/proc/[pid] directories. The argument, n, is one of the
following values:
0 Everybody may access all /proc/[pid] directories. This is
the traditional behavior, and the default if this mount
option is not specified.
1 Users may not access files and subdirectories inside any
/proc/[pid] directories but their own (the /proc/[pid]
directories themselves remain visible). Sensitive files
such as /proc/[pid]/cmdline and /proc/[pid]/status are now
protected against other users. This makes it impossible
to learn whether any user is running a specific program
(so long as the program doesn't otherwise reveal itself by
its behavior).
2 As for mode 1, but in addition the /proc/[pid] directories
belonging to other users become invisible. This means
that /proc/[pid] entries can no longer be used to discover
the PIDs on the system. This doesn't hide the fact that a
process with a specific PID value exists (it can be
learned by other means, for example, by "kill -0 $PID"),
but it hides a process's UID and GID, which could
otherwise be learned by employing stat(2) on a /proc/[pid]
directory. This greatly complicates an attacker's task of
gathering information about running processes (e.g.,
discovering whether some daemon is running with elevated
privileges, whether another user is running some sensitive
program, whether other users are running any program at
all, and so on).
Таким образом то, что Вы, вероятно, хотите, должно иметь что-то вроде этого в /etc/fstab
:
proc /proc proc defaults,hidepid=2 0 0
Существует также gid
опция, где Вы могли позволить определенной группе пользователей видеть информацию о процессе, такую как группа admin. gid
являются числовыми, таким образом, Вы использовали бы что-то как gid=1000
позволить только Вашему администраторскому пользователю и другим пользователям, которые принадлежат его группе для наблюдения информации о процессе.
Вы могли также временно повторно смонтироваться /proc
файловая система как так (для тестирования или других целей):
mount -o remount,hidepid=2 /proc