Une possibilité est /proc monté avec soit hidepid=1 ou hidepid=2 . Cette option de montage a été ajoutée dans les derniers noyaux Linux et rétroportée vers CentOS 5.9 et 6.3.
Mount options
The proc filesystem supports the following mount options:
hidepid=n (since Linux 3.3)
This option controls who can access the information in
/proc/[pid] directories. The argument, n, is one of the
following values:
0 Everybody may access all /proc/[pid] directories. This is
the traditional behavior, and the default if this mount
option is not specified.
1 Users may not access files and subdirectories inside any
/proc/[pid] directories but their own (the /proc/[pid]
directories themselves remain visible). Sensitive files
such as /proc/[pid]/cmdline and /proc/[pid]/status are now
protected against other users. This makes it impossible
to learn whether any user is running a specific program
(so long as the program doesn't otherwise reveal itself by
its behavior).
2 As for mode 1, but in addition the /proc/[pid] directories
belonging to other users become invisible. This means
that /proc/[pid] entries can no longer be used to discover
the PIDs on the system. This doesn't hide the fact that a
process with a specific PID value exists (it can be
learned by other means, for example, by "kill -0 $PID"),
but it hides a process's UID and GID, which could
otherwise be learned by employing stat(2) on a /proc/[pid]
directory. This greatly complicates an attacker's task of
gathering information about running processes (e.g.,
discovering whether some daemon is running with elevated
privileges, whether another user is running some sensitive
program, whether other users are running any program at
all, and so on).
Une autre possibilité (trouvée par l'affiche et ajoutée à cette réponse comme information de référence) est grsecurity qui a une fonction pour cacher les processus des autres utilisateurs aux utilisateurs non privilégiés dans le cadre du renforcement du système de fichiers.
Masquer les processus des autres utilisateurs pour les utilisateurs non privilégiés
Alors que le noyau en amont fournit désormais une option de montage pour /proc afin de masquer les processus d'autres utilisateurs non privilégiés, grsecurity va au-delà en masquant ces informations par défaut, en masquant les sources supplémentaires d'informations sensibles fournies par le noyau dans /proc et en masquant les informations privées liées au réseau de tous utilisateurs. Non seulement les informations de mise en réseau constituent une violation de la vie privée des autres utilisateurs du système, mais elles ont également été utiles dans le passé pour les attaques de piratage TCP.
Sur la base des informations des messages suivants, j'ai identifié 3 résolutions possibles.
- htop affiche uniquement les processus de l'utilisateur qui l'exécute ? sous Unix et Linux
- https://www.centos.org/forums/viewtopic.php?f=14&t=52563
Quels états grsecurty peuvent empêcher les utilisateurs de voir les pid des autres utilisateurs dans /proc/ et qu'OVH (Mon hébergeur) utilise un noyau personnalisé compilé avec Grsecurity
$ uname -r
3.14.32-xxxx-grs-ipv6-64
les résolutions possibles sont :
- supprimer grsecurity
- modifier la politique pour autoriser une telle utilisation
- s'assurer que les autres administrateurs sont informés des nouvelles mesures de sécurité en place
Pour moi, éduquer les autres administrateurs est la meilleure option car la sécurité passe avant tout. J'aurais quand même aimé qu'ils nous informent de quelque chose comme ça. Merci pour toute votre aide !