hidepid: skrivanje procesa drugih sistemskih korisnika na linuxu

22.06.2012.

U novom linux kernelu verzije 3.3 dodana je funkcija koja omogućuje mountanje procfs-a na način da se sistemskim korisnicima ne prikazuju procesi drugih korisnika u sustavu. U tom slučaju, samo root i grupa kojoj damo ovlasti, mogu vidjeti procese drugih korisnika. Nova funkcija je jednostavna ali i vrlo efektna, i ne samo da može poboljšati sigurnost i privatnost korisnika sustava, već uvodi i vizualnog reda u defaultni output top, ps i drugih naredbi za prikazivanje procesa.

Funkcija je backportana u najnoviji RHEL/Centos kernel. Prije nego je ova funkcija ubačena u kernel, slični su se rezultati mogli dobiti na manje elegantne načine pomoću SELinux-a ili grsecurity kernel patch-a. Korištenje nove funkcije koju su mnogi čekali dugo vremena je izuzetno jednostavno. Na našoj testnoj Centos platformi bilo je potrebno u /etc/rc.local dodati liniju:

mount /proc -o remount,hidepid=2

Nakon reboota (ili pokretanja te iste linije u root shell-u), neprivilegirani korisnici moći će imati uvid samo u svoje procese na sustavu.  Iz nekog razloga, dodavanje hidepid=2 mount opcije u /etc/fstab nije urodilo plodom, premda je procfs mountan ispravno s hidepid=2 opcijom, no remountanje pomoću /etc/rc.local pri bootanju daje traženi rezultat. Želimo li grupi korisnika dati standardne ovlasti, koristit ćemo gid=<group id> mount opciju u istoj liniji.