如何阻止用户看到其他进程？

Question

一般来说，它是grsecurity的功能之一--用户只看到自己的进程，而不是所有其他的进程。

但是-我宁愿避免安装grsecurity -也许这样的事情可以用更简单的方式完成吗？

我在使用Linux Debian。

Answer 1

不需要容器，只需使用最近的OS https://linux-audit.com/linux-system-hardening-adding-hidepid-to-proc/

https://www.linux-dev.org/2012/09/hide-process-information-for-other-users/

hidepid是procfs (/proc)的一个新的挂载选项，您可以将进程及其信息隐藏给其他用户，比如其他shell用户和web脚本。

hidepid接受三个不同的值：

hidepid=0 (默认)：这是默认设置，并给出默认行为。

hidepid=1:使用此选项，普通用户将不会看到其他进程，而只会看到他们自己的ps、top等进程，但他仍然能够在/proc中看到进程in。

hidepid=2:用户也只能看到他们自己的进程(比如hidepid=1)，但其他进程in也隐藏在/proc中！

此外，您还可以指定一个用户/组ID，它仍然能够使用gid选项查找进程。因此，如果您想将所有进程隐藏给其他用户，除了根(uid=0)和本例中的gid=1001 (本例中的一些半管理用户)之外，您的/etc/fstab必须如下所示：

proc /proc proc默认值，hidepid=2，gid=1001 0 0

Answer 2

根据您想要完成的任务，您可能需要查看Linux容器：

• http://lxc.sourceforge.net/

这是一种轻量级虚拟化机制，允许您在Linux系统上创建独立的资源组。Linux容器(LXC)使用过去几年来Linux内核中的命名空间支持；本页：

• http://lxc.sourceforge.net/index.php/about/kernel-namespaces/

链接到讨论这项工作的各个方面的文章。

这可能是一个比你想要的更大的解决方案，但这是一个非常有趣的技术。