, 등 이 다른 사용자가 수행하는 작업을 표시 /proc하지 못하도록 의사 파일 시스템을 비활성화할 수 있습니까 ? 물론, 나는 여전히 "다른 모든 것"이 작동하기를 원합니다. 이를 수행할 수 있는 방법이 있습니까?wpstop
답변1
일부는사이버 보안소유자(및 루트)만 자신의 프로세스를 볼 수 있도록 허용하는 옵션을 제공하는 Linux 커널(SELinux에 포함되어 있지만 SELinux의 매우 복잡한 MAC 권한 시스템은 없음)용 패치 세트입니다. 또한 다른 이점도 제공하지만 SELinux만큼 방해가 되지는 않습니다.
Solaris에도 비슷한 옵션이 있습니다. 적어도 제가 들은 바는 그렇습니다.
답변2
비활성화되면 /proc많은 작업이 중지됩니다. ps자신의 프로세스를 사용하거나 동행하거나 볼 수도 없을 뿐만 아니라 많은 도구와 서비스가 작동하지 않습니다. 제가 이 글을 쓰고 있는 컴퓨터를 살펴보면, 파일을 여는 프로세스 로는 (RAID), (GUI), (핫플러그 장치), (ACPI), (NFS 서버)가 /proc있습니다 .mdadmXorghaldacpidrpc.mount
/proc권한 550(즉, 누구나 읽을 수 없음)을 부여 하고, 사용되지만 루트로 실행되지 않는 proc-readers모든 서비스를 그룹화하고 해당 그룹에 넣는 것이 가능할 수 있습니다 . 나는 그것을 시도한 적이 없습니다. 이것은 실험적인 제안이며 생산 기계에서 수행할 작업이 아닙니다./procproc-readers