estou usando um servidor Ubuntu 10.04 ...
quando executo ps aux como root vejo todos os processos quando executo ps aux como não root vejo APENAS os processos do usuário atual
depois de um pouco de pesquisa encontrei a seguinte solução:
root@m85:~# ls -al /proc/
total 4
dr-xr-xr-x 122 root root 0 2010-12-23 14:08 .
drwxr-xr-x 22 root root 4096 2010-12-23 13:30 ..
dr-x------ 6 root root 0 2010-12-23 14:08 1
dr-x------ 6 root root 0 2010-12-23 14:08 10
dr-x------ 6 root root 0 2010-12-23 14:08 1212
dr-x------ 6 root root 0 2010-12-23 14:08 1227
dr-x------ 6 root root 0 2010-12-23 14:08 1242
dr-x------ 6 zabbix zabbix 0 2010-12-24 23:52 12747
[...]
minha primeira ideia foi que ele foi montado de uma maneira estranha: /etc/fstab está ok e não parece estar montado de uma maneira estranha ...
minha segunda ideia foi que poderia haver um rootkit: mas não é um rootkit... rkhunter me disse que não há nenhum rootkit instalado...
não sei se é porque a máquina foi instalada ou veio com uma atualização. acabei de instalar o zabbix-agent na máquina e percebi que não funcionava corretamente ...
O que poderia ter causado permissões tão estranhas (500) e como posso voltar ao nível normal (555)?
Que loucura, nunca vi algo assim...
desde já obrigado por qualquer ajuda e feliz natal :)
Já verifiquei o sysctl, sem resultado.
sysctl -a | grep ps
sysctl -a | grep proc
obrigado pela dica de grsecurity: pesquisei um pouco no Google. dpkg mostra que estou usando o kernel padrão e nenhum grsecurity parece estar instalado. também o /dev/grsec não existe.
também parei o apparmor, mas ainda existe o mesmo problema.
dpkg mostra que libselinux1 está instalado, mas não o pacote selinux ...
existe outra maneira de verificar se o grsecrity e o selinux estão rodando?
Responder1
não sei se é porque a máquina foi instalada ou veio com uma atualização. acabei de instalar o zabbix-agent na máquina e percebi que não funcionava corretamente ...
Acredito grsecurityque pode impedir o usuário de ver todos os processos.
Responder2
Eu não ficaria muito preocupado com um rootkit. Isso provavelmente ocultaria alguns processos do root. Mas devo acrescentar que a execução rkhunterna própria caixa não é muito confiável - ela poderia ter sido modificada pelo rootkit.
Nunca vi esse problema específico antes. Algumas possibilidades podem ser:
Responder3
psmostra apenas informações sobre processos sobre os quais pode obter informações. Como /proc/12747não é legível, não será exibido se você não for root.
OBSERVAÇÃO: Isso parece ser devido ao Ubuntu e à maneira (estranha) como eles modificam seus sistemas. Não é a primeira vez que eles descartam permissões aleatoriamente em algum lugar, na crença de que isso iria "proteger" seus sistemas, mas eventualmente fazendo com que os programas não funcionem mais "como esperado" - cf.https://bugs.launchpad.net/ubuntu/+source/libpam-mount/+bug/117736. Qualquer kernel normal possui diretórios /proc/xyz (embora não necessariamente todos os arquivos nele contidos) legíveis por todos!
Responder4
eu já verifiquei o sysctl, sem resultado
sysctl -a | grep ps sysctl -a | grep processo
obrigado pela dica de grsecurity: pesquisei um pouco no Google. dpkg mostra que estou usando o kernel padrão e nenhum grsecurity parece estar instalado. também o /dev/grsec não existe.
também parei o apparmor, mas ainda existe o mesmo problema.
dpkg mostra que libselinux1 está instalado, mas não o pacote selinux ...
existe outra maneira de verificar se o grsecrity e o selinux estão rodando?