ec2-user がルートプロセスを表示できるのはなぜですか?

Question

パーhttps://www.cyberciti.biz/faq/linux-hide-processes-from-other-users/のデフォルトの動作では、/procすべてのユーザーがすべてのプロセスとコマンドラインを表示できます。

非表示pid=0– 古い動作 – 誰でも、誰でも読み取り可能なすべての /proc/PID/* ファイルを読み取ることができます (デフォルト)。

非表示pid=1– つまり、ユーザーは自分のディレクトリ以外の /proc// ディレクトリにはアクセスできなくなります。cmdline、sched*、status などの機密ファイルは他のユーザーから保護されるようになりました。

非表示pid=2これは、hidepid=1 に加えて、すべての /proc/PID/ が他のユーザーから見えなくなることを意味します。これにより、侵入者が実行中のプロセス、一部のデーモンが昇格された権限で実行されているかどうか、別のユーザーが機密プログラムを実行しているかどうか、他のユーザーがプログラムを実行しているかどうかなどに関する情報を収集するタスクが複雑になります。

/procこの問題を解決するには、で再マウントできるはずですhidepid。

次のマウントコマンドを入力します。
# mount -o remount,rw,hidepid=2 /proc
/etc/fstab を編集し、次のように入力します。
# vi /etc/fstab
サーバーの起動時に保護が自動的に有効になるように、次のように proc エントリを更新/追加/変更します。
## append the following line ##
proc    /proc    proc    defaults,hidepid=2     0     0
ファイルを保存して閉じます。

Answer 1

パーhttps://www.cyberciti.biz/faq/linux-hide-processes-from-other-users/のデフォルトの動作では、/procすべてのユーザーがすべてのプロセスとコマンドラインを表示できます。

非表示pid=0– 古い動作 – 誰でも、誰でも読み取り可能なすべての /proc/PID/* ファイルを読み取ることができます (デフォルト)。

非表示pid=1– つまり、ユーザーは自分のディレクトリ以外の /proc// ディレクトリにはアクセスできなくなります。cmdline、sched*、status などの機密ファイルは他のユーザーから保護されるようになりました。

非表示pid=2これは、hidepid=1 に加えて、すべての /proc/PID/ が他のユーザーから見えなくなることを意味します。これにより、侵入者が実行中のプロセス、一部のデーモンが昇格された権限で実行されているかどうか、別のユーザーが機密プログラムを実行しているかどうか、他のユーザーがプログラムを実行しているかどうかなどに関する情報を収集するタスクが複雑になります。

/procこの問題を解決するには、で再マウントできるはずですhidepid。

次のマウントコマンドを入力します。
# mount -o remount,rw,hidepid=2 /proc
/etc/fstab を編集し、次のように入力します。
# vi /etc/fstab
サーバーの起動時に保護が自動的に有効になるように、次のように proc エントリを更新/追加/変更します。
## append the following line ##
proc    /proc    proc    defaults,hidepid=2     0     0
ファイルを保存して閉じます。

ec2-user がルートプロセスを表示できるのはなぜですか?

答え1

関連情報