GNU/Linux >> Linux の 問題 >  >> Linux

トップは現在のユーザープロセスのみを表示しています

1 つの可能性は /proc です hidepid=1 のいずれかでマウント または hidepid=2 .このマウント オプションは、後の Linux カーネルで追加され、CentOS 5.9 および 6.3 前後でバックポートされました。 

Mount options
   The proc filesystem supports the following mount options:

   hidepid=n (since Linux 3.3)
          This option controls who can access the information in
          /proc/[pid] directories.  The argument, n, is one of the
          following values:

          0   Everybody may access all /proc/[pid] directories.  This is
              the traditional behavior, and the default if this mount
              option is not specified.

          1   Users may not access files and subdirectories inside any
              /proc/[pid] directories but their own (the /proc/[pid]
              directories themselves remain visible).  Sensitive files
              such as /proc/[pid]/cmdline and /proc/[pid]/status are now
              protected against other users.  This makes it impossible
              to learn whether any user is running a specific program
              (so long as the program doesn't otherwise reveal itself by
              its behavior).

          2   As for mode 1, but in addition the /proc/[pid] directories
              belonging to other users become invisible.  This means
              that /proc/[pid] entries can no longer be used to discover
              the PIDs on the system.  This doesn't hide the fact that a
              process with a specific PID value exists (it can be
              learned by other means, for example, by "kill -0 $PID"),
              but it hides a process's UID and GID, which could
              otherwise be learned by employing stat(2) on a /proc/[pid]
              directory.  This greatly complicates an attacker's task of
              gathering information about running processes (e.g.,
              discovering whether some daemon is running with elevated
              privileges, whether another user is running some sensitive
              program, whether other users are running any program at
              all, and so on).

別の可能性 (ポスターによって発見され、参照情報としてこの回答に追加されました) は、ファイルシステムの強化の一環として、他のユーザーのプロセスを非特権ユーザーから隠す機能を備えた grsecurity です。

<ブロック引用>

権限のないユーザーに対して他のユーザーのプロセスを非表示にする

アップストリーム カーネルは現在、他の非特権ユーザーのプロセスを非表示にする /proc のマウント オプションを提供していますが、grsecurity は、デフォルトでそのような情報を非表示にし、/proc でカーネルによって提供される機密情報の追加ソースを非表示にし、すべてのプライベート ネットワーク関連情報を非表示にすることで、これを超えています。ユーザー。ネットワーク情報は、システム上の他のユーザーのプライバシーを侵害するだけでなく、過去に TCP ハイジャック攻撃にも役立ちました.


次の投稿からの情報に基づいて、3 つの可能な解決策を特定しました。

  • htop は、それを実行しているユーザーのプロセスのみを表示しますか? Unix および Linux で
  • https://www.centos.org/forums/viewtopic.php?f=14&t=52563

/proc/ で grsecurty がユーザーに他のユーザーの pid を表示できない原因となる状態はどれですか OVH (私のホスティング会社) は、Grsecurity でコンパイルされたカスタム カーネルを使用しています

$ uname -r
3.14.32-xxxx-grs-ipv6-64

考えられる解決策は次のとおりです:

<オール>
  • grsecurity を削除
  • ポリシーを編集してそのような使用を許可する
  • 他の管理者に新しいセキュリティ対策が実施されていることを知らせる

    • 私にとっては、セキュリティが最優先なので、他の管理者を教育することが最善の選択肢です。


    Linux

    1. ユーザーとグループ

    2. Linuxでユーザーを一覧表示する-最良の方法

    3. Linux –ユーザーが他のユーザーのホームディレクトリを読むことを許可しますか?

    1. Virtualboxに特定のユーザーのみにアクセスを許可しますか?

    2. 方法:FreeBSDユーザー管理

    3. 新しいWordPressユーザーを追加します

    1. Linux で su アクセスを PAM によってのみユーザーに制限する方法

    2. トップ コマンドを制限して、コマンド ラインでトップ X プロセスのみを表示する

    3. debian-+ ユーザーとは?