mount -o remount,rw,hidepid=2 /proc

我使用的是多用户系统,大部分的用户通过ssh客户端访问他们的资源。我如何(怎么样)避免泄露进程信息给他们?如何(怎么样)在Debian/Ubuntu/RHEL/CentOS linux服务器器上阻止/避免他们看到不属于他们的进程?对linux上的其他用户隐藏进程的方法

解决方法/方案:
如果你使用的linux kernel(内核)是3.2以上的版本(或者使用的RHEL/CentOS是6.5以上的版本),你就可以对其他用户隐藏进程。只有root用户可以看到所有的进程,而非root用户,只能看到属于自己的进程信息。你所需要做的仅仅是开启linux kernel加固选项 "hidepid "来重新挂载 /proc文件系统。

认识 hidepid 选项
这个选项定义了我们想让非进程的所有者能看到多少这些进程信息。
hidepid的值代表的意义如下:

1. hidepid=0   ———默认的模式(经典模式),任何人都可以查看 /proc/PID/* 中的world-readable文件
    解释:world-readable files:指linux中的我们把文件权限分成user,group和other三组,other又被叫做world。所以world-readables表示other这组有-r权限。

2. hidepid=1   ———表示用户不能进入/proc/下的,而只能进入属于自己的目录。所以一些敏感文件,如cmdline,sched*,status被保护起来了。当用户输入ps,top等命令,用户是看不到那些不属于自己的进程的!!不过还是能够看到/proc下的process IDs

3. hidepid=2  ———表示对hidepid=1的文件访问权限加强限制,这种设定下,/proc/PID/ 对于任何用户都是不可见的——哪怕是入侵到/proc 目录下,也看不到process IDs。无论是否有部分守护进程是以提升的权限运行,是否有其他用户运行一些敏感程序,是否有其他用户运行任何程序等,这个参数的设定都使得入侵者收集系统运行进程信息变得更复杂,难度加大。

Linux kernel protection(linux内核保护):对linux上的其他用户隐藏进程的方法
输入下面的命令来设置hidepid选项的值,以重新挂在/proc

# mount -o remount,rw,hidepid=2 /proc

编辑 /etc/fstab 文件,在系统重启后依然按上面那样来挂在/proc:

# vi /etc/fstab

将 proc挂载的那一行改成下面的样子:

proc /proc proc defaults,hidepid=2 0 0

然后保存关闭文件。

接下来是演示“对linux上的其他用户隐藏进程的方法”是否有效
在这个例子中,我分别以dabu和root同时登陆vps,只需在xshell开连个窗口或者是直接在命令行下ssh命令登陆。这里假设我dabu和root已经同时登陆了,那么,此时hidepid=0是默认的。
先在root中打开一个a.txt文件:

#vi a.txt

不关闭文件,然后去dabu那进行操作,执行

$ ps -ef

得到的结果又一条,如下:

root 16601 12120 0 16:19 pts/1 00:00:00 vi a.txt

同样,执行:

$top -bn1

也可以看到有一条root使用vi的进程:

代码如下:
17512 root 20 0 3488 1420 1192 S 0.0 0.5 0:00.00 vi

上面两个结果都证明在hidepid=0(默认值)时,这个属于root用的进程可以被dabu看到。

接着,继续用root执行下面的命令:

# mount -o remount,rw,hidepid=2 /proc

再次用dabu执行下面的命令查看进程;

$ ps -ef

返回结果中看不到刚才那条进程了,所有非dabu用户的都看不到了
至于top,htop之类的,更是看不到了

还有,如果你想ls /proc ,会提示你不能进入。

gid=xxx的配合hidepid使用:
如果我们设置了hidepid=2,就使得只能root看到所有的进程信息,有的情况下,我们还希望某个管理组也可以看到所有进程信息。
假设我们这里这个组是admin组,它的gid是1001  :我们可以讲/etc/fstab文件中的proc那行改成;

proc /proc proc defaults,hidepid=2,gid=1001 0 0

或者是

proc /proc proc defaults,hidepid=2,gid=admin 0 0

查看某个组的id,执行命令:

#id 组名

查看某个用户的id,执行命令:

#id 用户名

Linux系统上对其他用户隐藏进程的简单方法的更多相关文章

  1. linux如和对其他用户隐藏进程?

    Linux kernel 3.2以上,root用户可以设置内核,让普通用户看不到其它用户的进程.适用于有多个用户使用的系统.该功能由内核提供,因此本教程适用于Debian/Ubuntu/RHEL/Ce ...

  2. Linux系统上安装、卸载JAVA、TOMCAT的方法

    一. 安装JAVA 安装方法1:手工上传 创建安装目录上传JAVA安装包 Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE /* Styl ...

  3. VM下的linux系统上不了网?? 使用putty远程登录不上linux的解决方法?

    背景:昨晚想尝试一下用putty远程登录我的linux系统,悲剧的是,我竟然连接不上,显示 connection refused   ,连接被拒绝.于是我就想看看能不能在linux下看看能不能访问百度 ...

  4. 在Linux系统上利用Tomcat搭建测试环境

    第一歩:查看Linux系统的IP地址. 输入命令:ifconfig 第二歩:WinSCP工具 1.下载WinSCP工具,便于文件直接从windows系统直接拖动到Linux系统中,图形化创建文件夹等. ...

  5. [翻译]现代Linux系统上的栈溢出攻击【转】

    转自:http://www.codeweblog.com/%E7%BF%BB%E8%AF%91-%E7%8E%B0%E4%BB%A3linux%E7%B3%BB%E7%BB%9F%E4%B8%8A%E ...

  6. Oracle 11g客户端在Linux系统上的配置步骤详解

    Oracle 11g客户端在Linux系统上的配置步骤详解 2011-07-26 10:47 newhappy2008 CSDN博客 字号:T | T 本文我们主要介绍了Oracle 11g客户端在L ...

  7. Linux系统上安装mysql数据库

    一:下载并且上传安装包到linux系统上 1:下载地址:http://dev.mysql.com/downloads/mysql/ 2:通过LeapFtp工具,将windows上的mysql安装包拷贝 ...

  8. Linux系统上使用php获取apk信息

    最近在做一个apk商城,需要在用户上传了apk之后系统自动读取apk信息(包名,版本号等),后台语言使用的是php,需要php去调用系统的aapt命令去读取apk信息,在Linux系统上安装aapt的 ...

  9. Linux系统如何禁止普通用户切换root?

    Linux系统如何禁止普通用户切换root? 在上正文之前,我们先将一些基础的Linux用户以及用户组的相关命令: 1.添加用户 useradd [-g group] [-d user_home_di ...

随机推荐

  1. 02.01Linux中软件的安装、环境搭建

    图1 图2 图3 redis安装 图4 =====================linux下的软件的安装====================安装方式:Yum/rpm/源码安装yum:通过分析rp ...

  2. 在VMware上部署MOS(MirantisOpenStack-6.0)搭建全过程

    安装清单 MOS9.0系统镜像 1 MirantisOpenStack-6.0.iso ****首先创建3个仅主机模式网卡, 禁用DHCP,分别配置ip为 /10.20.0.0 /172.16.0.0 ...

  3. Cacls和ICacls

    解释:  Cacls:显示或修改文件的访问控制列表(ACL) ICACLS:显示或修改自由访问控制表(Dacl) 上指定的文件,并指定目录中的文件应用于存储的 Dacl. 总结:显示或修改文件访问控制 ...

  4. [转] zookeeper 本地启动多节点

    1. zoo.cfg配置文件如下: # The number of milliseconds of each tick tickTime=2000 # The number of ticks that ...

  5. HashMap集合排序方法

    首先我们先来看看Map集合获取元素的三种常见方法(1)entrySet(),(2)keySet(),(3)values() 1. entrySet():(1)先返回map集合的所有"映射&q ...

  6. SSM+pagehelper分页

    1.maven依赖 <dependency> <groupId>com.github.jsqlparser</groupId> <artifactId> ...

  7. 前端模拟数据接口json-server

    今天要找帮前端找一个可以实现数据接口模拟的工具.首先看到的mock.js这个.但是这个需要在页面里插入Mock.js我是要给小程序使用,所以不能这么插入.然后又找到了json-server这个Node ...

  8. fiddler笔记:与Web Session的交互

    Decode Selected Session 解决响应体显示乱码的问题. AutoScroll Session List 决定Fiddler是否会自动将新增的Session添加到web sessio ...

  9. Zynq-7000 MiZ701 SOC硬件使用手册

    一.整体概述 4 二.应用领域及人群 4 三.硬件配置 4 BANK资源分配 6 四.MiZ701开发板功能描述 7 4.1 全编程SOC(All Programmable SoC) 7 4.2 内存 ...

  10. XSS跨站攻击靶场-通关笔记

    XSS攻击是Web攻击中最常见的攻击手法之一,XSS中文名跨站脚本攻击,该攻击是指攻击者在网页中嵌入恶意的客户端脚本,通常是使用JS编写的恶意代码,当正常用户访问被嵌入代码的页面时,恶意代码将会在用户 ...