在Linux中能够访问/proc/是一种安全漏洞吗？

Question

作为用户，我可以运行ls proc并读取主机服务器的/proc目录，并读取其中的大部分数据(~90%)。

> ls /proc
1 acpi cpuinfo execdomains ioports kmsg mdstat net scsi sys uptime
21 buddyinfo crypto fb irq kpagecgroup meminfo pagetypeinfo self sysrq-trigger version
23 bus devices filesystems kallsyms kpagecount misc partitions slabinfo sysvipc version_signature
231 cgroups diskstats fs kcore kpageflags modules pressure softirqs thread-self vmallocinfo
232 cmdline dma interrupts keys loadavg mounts sched_debug stat timer_list vmstat
57 consoles driver iomem key-users locks mtrr schedstat swaps tty zoneinfo

我应该向网站所有者报告它，还是关于服务器硬件的无用信息？

Answer 1

/proc用于与内核交互，许多工具都需要它。

访问被认为是安全的，更敏感的数据(例如:显示每个进程信息的/proc/[pid]/* )具有更严格的权限。

可以使用/prod/[pid]挂载时间选项进一步限制对hidepid=n目录的权限.(详见手册页 )。

您可以要求提供程序将此选项调整到最严格的设置，但我不认为它是安全漏洞。