setfacl 명령을위한 / proc 디렉토리 및 / SYS 작동하지 않는 것,하지만 난 제한하고 싶습니다 : 나는 하나의 큰 문제가 하나 (특정 사용자 권한을하고 나는 그것을 허용 해당 사용자가 같은 / proc 디렉토리 / cpuinfo의 등 물건을 읽을 찾을 수 없습니다 사용자는 시스템에 대한 하드웨어 정보를 수집 할 수 없어야합니다.)
Ubuntu에서 어떻게해야합니까? Apparmor는 사용자가 아닌 애플리케이션을 제한하는 데 더 적합합니다. 이 경우 Selinux가 유일한 가능성 인 것 같습니다.
이 방법으로 스크립트에서 작업했습니다.
# restrict read access to /sys and /proc
sudo chmod -r /sys
sudo chmod -r /proc/acpi
sudo chmod -r /proc/asound
sudo chmod -r /proc/bus
sudo chmod -r /proc/cgroups
sudo chmod -r /proc/consoles
sudo chmod -r /proc/cpuinfo
sudo chmod -r /proc/crypto
sudo chmod -r /proc/devices
sudo chmod -r /proc/diskstats
sudo chmod -r /proc/dma
sudo chmod -r /proc/dri
sudo chmod -r /proc/driver
sudo chmod -r /proc/execdomains
sudo chmod -r /proc/fb
sudo chmod -r /proc/filesystem
# ...
이제 사용자 권한으로 작동하지 않는 일부 시스템 모니터링 도구를 제외하고 해당 파일에 대한 읽기 액세스 권한을 제거하면 심각한 문제가 발생할 수 있는지 궁금합니다 (번호 디렉토리가 아닌 이름이있는 파일에 대한 읽기 권한 만 제거합니다). (top, lscpu처럼)?
다른 사용자에게 발생하는 문제를 제외하고이 솔루션은 전혀 우아하지 않습니다.
나는 너무 많은 문제를 일으키는 grsecurity 커널을 컴파일하고 유지하고 싶지 않습니다.
에 대한 액세스를 제한하려면 마운트하는 동안 옵션을 /proc사용합니다 . fstab에 추가 (또는 이미 항목이있는 경우 편집) :hidepid/proc
proc /proc proc defaults,hidepid=2 0 0
이 gid옵션을 사용하여 특정 그룹에 대한 액세스를 활성화 할 수 있습니다. 자세한 내용은 http://www.debian-administration.org/article/702/Hiding_processes_from_other_users 를 참조하십시오.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다