Restringindo o acesso ao sistema de arquivos /proc

  • Post author:
  • Post category:Sem categoria

Restringindo o acesso ao sistema de arquivos /proc
O patch restricted proc fs ? um dos melhores para realizar esta tarefa. Restringindo o acesso ao sistema de arquivos /proc evita que o usu?rio normal tenha acesso aos detalhes sobre processos de outros (com ps aux) ou acesso a detalhes de processos de outros usu?rios existentes nos subdiret?rios num?ricos (equivalentes a PID) em /proc. Abaixo algumas caracter?sticas do patch restricted proc fs:

? pequeno, r?pido e faz poucas modifica??es no fonte do kernel.
Seu m?todo de funcionamento ? baseado nas restri??es de dono/grupo (nativas de ambiente Unix).
Restringe a visualiza??o de processos s? dos usu?rios. Adicionalmente ser? especificada uma GID para o diret?rio /proc, qualquer usu?rio que perten?a ao grupo especificado poder? visualizar todos os processos e entrar em qualquer diret?rio do kernel (sem restri??es, como se n?o tivesse o patch).
Muito est?vel e confi?vel.
Este patch deve ser baixado de http://noc.res.cmu.edu/proc, existem vers?es para os kernels da s?rie 2.2 e 2.4, baixe e aplique o patch, na configura??o do kernel ative a op??o Restricted Proc fs support. Compile e instale seu kernel.

No arquivo /etc/fstab inclua um grupo para a montagem do sistema de arquivos /proc (vamos usar o grupo adm com a GID 4):

# /etc/fstab: informa??es est?ticas do sistemas de arquivos.
#
# proc /proc proc defaults,gid=4 0 0

Ap?s reiniciar o sistema, execute o comando ls -lad /proc note que o grupo do diret?rio /proc ser? modificado para adm. Agora entre como um usu?rio e execute um ps aux, somente seus processos ser?o listados. Para autorizar um usu?rio espec?fico ver todos os processos (ter acesso novamente ao diret?rio /proc), inclua este no grupo que usou no arquivo /etc/fstab:

adduser usuario adm

Ap?s efetuar o usu?rio j? estar? pertencendo ao grupo adm (confira digitando groups), e poder? ver novamente os processos de todos os usu?rios com o comando ps aux.

OBS1: Incluir um usu?rio no grupo adm ? PERIGOSO, porque este usu?rio poder? ter acesso a arquivo/diret?rios que perten?am a este grupo, como os arquivos/diret?rios em /var/log. Se esta n?o ? sua inten??o, crie um grupo independente como restrproc para controlar quem ter? acesso ao diret?rio /proc: addgroup restrproc.

OBS2: Se a op??o gid n?o for especificada para a montagem de /proc no /etc/fstab, o grupo root ser? usado como padr?o. NUNCA adicione usu?rios ao grupo root, use o m?todo da observa??o acima para permitir outros usu?rios ver todos os processos em execu??o.

OBS3 Caso o servidor identd esteja sendo usado na m?quina servidora, ser? necess?rio roda-lo com a mesma GID do diret?rio /proc para que continue funcionando. Se ele ? executado como daemon, adicione a op??o -g GRUPO no script que inicia o servi?o em /etc/init.d e reinicie o daemon. Caso ele seja iniciado via inetd, fa?a a seguinte modifica??o no arquivo /etc/inetd.conf (assumindo o uso do oidentd):

#:INFO: Info services
auth stream tcp nowait.40 nobody.adm /usr/sbin/oidentd oidend -q -i -t 40