O patch restricted proc fs é um dos melhores para realizar
esta tarefa. Restringindo o acesso ao sistema de arquivos
/proc
evita que o usuário normal tenha acesso aos detalhes
sobre processos de outros (com ps aux
) ou acesso a detalhes
de processos de outros usuários existentes nos subdiretórios numéricos
(equivalentes a PID) em /proc
. Abaixo algumas
características do patch restricted proc fs:
-
É pequeno, rápido e faz poucas modificações no fonte do kernel.
-
Seu método de funcionamento é baseado nas restrições de dono/grupo (nativas de ambiente Unix).
-
Restringe a visualização de processos só dos usuários. Adicionalmente será especificada uma GID para o diretório
/proc
, qualquer usuário que pertença ao grupo especificado poderá visualizar todos os processos e entrar em qualquer diretório do kernel (sem restrições, como se não tivesse o patch). -
Muito estável e confiável.
Este patch deve ser baixado de http://noc.res.cmu.edu/proc, existem
versões para os kernels da série 2.2 e 2.4, baixe e aplique o patch, na
configuração do kernel ative a opção Restricted Proc fs
support
. Compile e instale seu kernel.
No arquivo /etc/fstab
inclua um grupo para a montagem do
sistema de arquivos /proc
(vamos usar o grupo
adm
com a GID 4):
# /etc/fstab: informações estáticas do sistemas de arquivos. # # <Sist. Arq.> <Ponto Mont.> <tipo> <opções> <dump> <passo> proc /proc proc defaults,gid=4 0 0
Após reiniciar o sistema, execute o comando ls -lad /proc
note que o grupo do diretório /proc
será modificado para
adm
. Agora entre como um usuário e execute um ps
aux
, somente seus processos serão listados. Para autorizar um
usuário específico ver todos os processos (ter acesso novamente ao diretório
/proc
), inclua este no grupo que usou no arquivo
/etc/fstab
:
adduser usuario adm
Após efetuar o usuário já estará pertencendo ao grupo adm
(confira digitando groups
), e poderá ver novamente os
processos de todos os usuários com o comando ps aux
.
OBS1: Incluir um usuário no grupo
adm
É PERIGOSO, porque este usuário poderá ter acesso a
arquivo/diretórios que pertençam a este grupo, como os arquivos/diretórios em
/var/log
. Se esta não é sua intenção, crie um grupo
independente como restrproc
para controlar quem terá acesso
ao diretório /proc
: addgroup restrproc
.
OBS2: Se a opção gid
não
for especificada para a montagem de /proc
no
/etc/fstab
, o grupo root
será usado
como padrão. NUNCA adicione usuários ao grupo root
, use o
método da observação acima para permitir outros usuários ver todos os processos
em execução.
OBS3 Caso o servidor
identd esteja sendo usado na máquina servidora, será
necessário roda-lo com a mesma GID do diretório /proc
para
que continue funcionando. Se ele é executado como daemon, adicione a opção
-g GRUPO no script que inicia o serviço em
/etc/init.d
e reinicie o daemon. Caso ele seja iniciado
via inetd, faça a seguinte modificação no arquivo
/etc/inetd.conf
(assumindo o uso do
oidentd):
#:INFO: Info services auth stream tcp nowait.40 nobody.adm /usr/sbin/oidentd oidend -q -i -t 40
Veja ??? para detalhes sobre este serviço.
Copyright © 1999-2020 - Gleydson Mazioli da Silva