共有Linux環境で/ proc疑似ファイルシステムを無効にする方法は?

共有Linux環境で/ proc疑似ファイルシステムを無効にする方法は?

など、他のユーザーが実行している操作を表示でき/procないように、擬似ファイルシステムを無効にできますか?もちろん、私はまだ「他のすべて」が動作したいと思います。これを行う方法はありますか?wpstop

答え1

一部はサイバーセキュリティ所有者(およびルート)のみが自分のプロセスを表示できるようにするオプションを提供するLinuxカーネル(SELinuxに含まれていますが、SELinuxの非常に複雑なMAC特権システムはありません)用のパッチセットです。また、他の利点も提供しますが、SELinuxほど邪魔になりません。

Solarisにも同様のオプションがあります。少なくとも私が聞いたことはそうです。

答え2

無効にすると、/proc多くの操作が停止します。ps自分のプロセスを使用したり、同行したり表示したりすることはできませんが、多くのツールやサービスは機能しません。私がこの記事を書いているコンピュータを見ると、ファイルを開くプロセスには(RAID)、(GUI)、(ホットプラグデバイス)、(ACPI)、(NFSサーバー)が/procあります。mdadmXorghaldacpidrpc.mount

/proc権限 550 (つまり、誰でも読み取れない) を付与し、使用されるがルートとして実行されないproc-readersすべてのサービスをグループ化し、そのグループに入れることができます。私はそれを試したことがありません。これは実験的な提案であり、生産機械で実行する作業ではありません。/procproc-readers

使用SELinuxまたは仮想化ユーザーをさらに隔離します。

関連情報