Linux系統(tǒng)上對(duì)其他用戶(hù)隱藏進(jìn)程的簡(jiǎn)單方法

moon's blog 發(fā)布時(shí)間：2015-06-26 16:29:13 作者：佚名

這篇文章主要介紹了Linux系統(tǒng)上對(duì)其他用戶(hù)隱藏進(jìn)程的簡(jiǎn)單方法,特別適用于ssh客戶(hù)端遠(yuǎn)程登錄Linux服務(wù)器的情況,需要的朋友可以參考下

我使用的是多用戶(hù)系統(tǒng)，大部分的用戶(hù)通過(guò)ssh客戶(hù)端訪問(wèn)他們的資源。我如何(怎么樣)避免泄露進(jìn)程信息給他們？如何(怎么樣)在Debian/Ubuntu/RHEL/CentOS linux服務(wù)器器上阻止/避免他們看到不屬于他們的進(jìn)程？對(duì)linux上的其他用戶(hù)隱藏進(jìn)程的方法

解決方法/方案：
如果你使用的linux kernel(內(nèi)核)是3.2以上的版本(或者使用的RHEL/CentOS是6.5以上的版本)，你就可以對(duì)其他用戶(hù)隱藏進(jìn)程。只有root用戶(hù)可以看到所有的進(jìn)程，而非root用戶(hù)，只能看到屬于自己的進(jìn)程信息。你所需要做的僅僅是開(kāi)啟linux kernel加固選項(xiàng) "hidepid "來(lái)重新掛載 /proc文件系統(tǒng)。

認(rèn)識(shí) hidepid 選項(xiàng)
這個(gè)選項(xiàng)定義了我們想讓非進(jìn)程的所有者能看到多少這些進(jìn)程信息。
hidepid的值代表的意義如下：

1. hidepid=0 ———默認(rèn)的模式(經(jīng)典模式)，任何人都可以查看 /proc/PID/* 中的world-readable文件
解釋?zhuān)簑orld-readable files:指linux中的我們把文件權(quán)限分成user，group和other三組，other又被叫做world。所以world-readables表示other這組有-r權(quán)限。

2. hidepid=1 ———表示用戶(hù)不能進(jìn)入/proc/下的，而只能進(jìn)入屬于自己的目錄。所以一些敏感文件，如cmdline,sched*,status被保護(hù)起來(lái)了。當(dāng)用戶(hù)輸入ps，top等命令，用戶(hù)是看不到那些不屬于自己的進(jìn)程的??！不過(guò)還是能夠看到/proc下的process IDs

3. hidepid=2 ———表示對(duì)hidepid=1的文件訪問(wèn)權(quán)限加強(qiáng)限制，這種設(shè)定下，/proc/PID/ 對(duì)于任何用戶(hù)都是不可見(jiàn)的——哪怕是入侵到/proc 目錄下，也看不到process IDs。無(wú)論是否有部分守護(hù)進(jìn)程是以提升的權(quán)限運(yùn)行，是否有其他用戶(hù)運(yùn)行一些敏感程序，是否有其他用戶(hù)運(yùn)行任何程序等，這個(gè)參數(shù)的設(shè)定都使得入侵者收集系統(tǒng)運(yùn)行進(jìn)程信息變得更復(fù)雜，難度加大。

Linux kernel protection(linux內(nèi)核保護(hù)):對(duì)linux上的其他用戶(hù)隱藏進(jìn)程的方法
輸入下面的命令來(lái)設(shè)置hidepid選項(xiàng)的值，以重新掛在/proc

復(fù)制代碼

代碼如下:

# mount -o remount,rw,hidepid=2 /proc

編輯 /etc/fstab 文件，在系統(tǒng)重啟后依然按上面那樣來(lái)掛在/proc：

復(fù)制代碼

代碼如下:

# vi /etc/fstab

將 proc掛載的那一行改成下面的樣子：

復(fù)制代碼

代碼如下:

proc /proc proc defaults,hidepid=2 0 0

然后保存關(guān)閉文件。

接下來(lái)是演示“對(duì)linux上的其他用戶(hù)隱藏進(jìn)程的方法”是否有效
在這個(gè)例子中，我分別以dabu和root同時(shí)登陸vps,只需在xshell開(kāi)連個(gè)窗口或者是直接在命令行下ssh命令登陸。這里假設(shè)我dabu和root已經(jīng)同時(shí)登陸了，那么，此時(shí)hidepid=0是默認(rèn)的。
先在root中打開(kāi)一個(gè)a.txt文件

復(fù)制代碼

代碼如下:

#vi a.txt

不關(guān)閉文件，然后去dabu那進(jìn)行操作，執(zhí)行

復(fù)制代碼

代碼如下:

$ ps -ef

得到的結(jié)果又一條，如下：

復(fù)制代碼

代碼如下:

root 16601 12120 0 16:19 pts/1 00:00:00 vi a.txt

同樣，執(zhí)行:

復(fù)制代碼

代碼如下:

$top -bn1

也可以看到有一條root使用vi的進(jìn)程:

復(fù)制代碼

代碼如下:

17512 root 20 0 3488 1420 1192 S 0.0 0.5 0:00.00 vi

上面兩個(gè)結(jié)果都證明在hidepid=0(默認(rèn)值)時(shí)，這個(gè)屬于root用的進(jìn)程可以被dabu看到。

接著，繼續(xù)用root執(zhí)行下面的命令：

復(fù)制代碼

代碼如下:

# mount -o remount,rw,hidepid=2 /proc

再次用dabu執(zhí)行下面的命令查看進(jìn)程;

復(fù)制代碼

代碼如下:

$ ps -ef

返回結(jié)果中看不到剛才那條進(jìn)程了，所有非dabu用戶(hù)的都看不到了
至于top，htop之類(lèi)的，更是看不到了

還有，如果你想ls /proc ，會(huì)提示你不能進(jìn)入。

gid=xxx的配合hidepid使用：
如果我們?cè)O(shè)置了hidepid=2,就使得只能root看到所有的進(jìn)程信息，有的情況下，我們還希望某個(gè)管理組也可以看到所有進(jìn)程信息。
假設(shè)我們這里這個(gè)組是admin組，它的gid是1001 ：我們可以講/etc/fstab文件中的proc那行改成;

復(fù)制代碼

代碼如下:

proc /proc proc defaults,hidepid=2,gid=1001 0 0

或者是

復(fù)制代碼

代碼如下:

proc /proc proc defaults,hidepid=2,gid=admin 0 0

查看某個(gè)組的id,執(zhí)行命令：

復(fù)制代碼

代碼如下:

#id 組名

查看某個(gè)用戶(hù)的id，執(zhí)行命令：