Estoy usando un servidor Ubuntu 10.04...
cuando ejecuto ps aux como root veo todos los procesos cuando ejecuto ps aux como no root veo SÓLO los procesos del usuario actual
Después de investigar un poco encontré la siguiente solución:
root@m85:~# ls -al /proc/
total 4
dr-xr-xr-x 122 root root 0 2010-12-23 14:08 .
drwxr-xr-x 22 root root 4096 2010-12-23 13:30 ..
dr-x------ 6 root root 0 2010-12-23 14:08 1
dr-x------ 6 root root 0 2010-12-23 14:08 10
dr-x------ 6 root root 0 2010-12-23 14:08 1212
dr-x------ 6 root root 0 2010-12-23 14:08 1227
dr-x------ 6 root root 0 2010-12-23 14:08 1242
dr-x------ 6 zabbix zabbix 0 2010-12-24 23:52 12747
[...]
Mi primera idea fue que se montó de una manera extraña: /etc/fstab está bien y no parece estar montado de una manera extraña...
Mi segunda idea fue que podría haber un rootkit: pero no es un rootkit... rkhunter me dice que no hay ningún rootkit instalado...
No sé si es porque la máquina se instaló o vino con una actualización. Acabo de instalar zabbix-agent en la máquina y me di cuenta de que no funcionaba correctamente...
¿Qué pudo haber causado permisos tan extraños (500) y cómo puedo restablecerlos a un nivel normal (555)?
Loco, nunca había visto algo así...
gracias de antemano por cualquier ayuda y feliz navidad :)
Ya revisé sysctl y no hubo resultado.
sysctl -a | grep ps
sysctl -a | grep proc
Gracias por el consejo sobre grsecurity: lo busqué un poco en Google. dpkg muestra que estoy usando el kernel estándar y parece que no hay ningún grsecurity instalado. Además, /dev/grsec no existe.
También detuve Apparmor, pero todavía existe el mismo problema.
dpkg muestra que libselinux1 está instalado, pero no el paquete selinux...
¿Hay otra manera de comprobar si grsecrity y selinux se están ejecutando?
Respuesta1
No sé si es porque la máquina se instaló o vino con una actualización. Acabo de instalar zabbix-agent en la máquina y me di cuenta de que no funcionaba correctamente...
Creo que grsecuritypuedo impedir que el usuario vea todos los procesos.
Respuesta2
No me preocuparía demasiado un rootkit. Lo más probable es que eso incluso oculte algunos procesos para root. Pero debo agregar que ejecutarlo rkhunteren la caja en sí no es muy confiable: podría haber sido modificado por el rootkit.
Nunca antes había visto este problema específico. Algunas posibilidades pueden ser:
Respuesta3
pssolo muestra información sobre los procesos sobre los que puede obtener información. Como /proc/12747no es legible, no lo mostrará si no eres root.
NOTA: Esto parece deberse a Ubuntu y la (extraña) forma en que modifican sus sistemas. No es la primera vez que eliminan permisos aleatoriamente en algún lugar creyendo que "protegería" sus sistemas, pero eventualmente provoca que los programas ya no funcionen "como se esperaba" (cf.https://bugs.launchpad.net/ubuntu/+source/libpam-mount/+bug/117736. ¡Cualquier kernel normal tiene directorios /proc/xyz (aunque no necesariamente todos los archivos que contiene) legibles en todo el mundo!
Respuesta4
Ya revisé sysctl, sin resultado
sistema -a | grep ps sysctl -a | proceso grep
Gracias por el consejo sobre grsecurity: lo busqué un poco en Google. dpkg muestra que estoy usando el kernel estándar y parece que no hay ningún grsecurity instalado. Además, /dev/grsec no existe.
También detuve Apparmor, pero todavía existe el mismo problema.
dpkg muestra que libselinux1 está instalado, pero no el paquete selinux...
¿Hay otra manera de comprobar si grsecrity y selinux se están ejecutando?