hidepid
procfs
di Linux sekarang mendukung hidepid
opsi. Dari man 5 proc
:
hidepid=n (since Linux 3.3)
This option controls who can access the information in
/proc/[pid] directories. The argument, n, is one of the
following values:
0 Everybody may access all /proc/[pid] directories. This is
the traditional behavior, and the default if this mount
option is not specified.
1 Users may not access files and subdirectories inside any
/proc/[pid] directories but their own (the /proc/[pid]
directories themselves remain visible). Sensitive files
such as /proc/[pid]/cmdline and /proc/[pid]/status are now
protected against other users. This makes it impossible to
learn whether any user is running a specific program (so
long as the program doesn't otherwise reveal itself by its
behavior).
2 As for mode 1, but in addition the /proc/[pid] directories
belonging to other users become invisible. This means that
/proc/[pid] entries can no longer be used to discover the
PIDs on the system. This doesn't hide the fact that a
process with a specific PID value exists (it can be learned
by other means, for example, by "kill -0 $PID"), but it
hides a process's UID and GID, which could otherwise be
learned by employing stat(2) on a /proc/[pid] directory.
This greatly complicates an attacker's task of gathering
information about running processes (e.g., discovering
whether some daemon is running with elevated privileges,
whether another user is running some sensitive program,
whether other users are running any program at all, and so
on).
gid=gid (since Linux 3.3)
Specifies the ID of a group whose members are authorized to
learn process information otherwise prohibited by hidepid
(ie/e/, users in this group behave as though /proc was mounted
with hidepid=0. This group should be used instead of approaches
such as putting nonroot users into the sudoers(5) file.
Jadi, pemasangan /proc
dengan hidepid=2
cukup untuk menyembunyikan detail proses pengguna lain di Linux> 3.3. Ubuntu 12.04 hadir dengan 3.2 secara default, tetapi Anda dapat menginstal kernel yang lebih baru. Ubuntu 14.04 dan di atas dengan mudah cocok dengan persyaratan ini.
ACL
Sebagai langkah pertama, hapus rwx
izin untuk orang lain dari setiap direktori home (dan untuk grup juga, jika Anda memerlukannya). Saya berasumsi, tentu saja, bahwa folder yang berisi direktori home tidak memiliki izin menulis kepada siapa pun kecuali root.
Kemudian, berikan layanan seperti server web dan server surat akses ke direktori yang sesuai menggunakan ACL. Misalnya, untuk memberikan akses proses server web ke halaman beranda pengguna, dengan anggapan www-data
adalah pengguna dan ~/public_html
tempat halaman beranda disimpan:
setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html
Demikian pula, tambahkan ACL untuk proses surat dan direktori kotak surat.
ACL diaktifkan secara default pada ext4 setidaknya pada Ubuntu 14.04 ke atas.
/tmp
dan umask
Masalah lainnya adalah /tmp
. Atur umask
agar file tidak dapat dibaca kelompok atau dunia, sehingga file sementara pengguna tidak dapat diakses oleh pengguna lain.
Dengan ketiga pengaturan ini, pengguna seharusnya tidak dapat mengakses file pengguna lain, atau memeriksa proses mereka.