Prozess verstecken
-
- Posts: 14
- Joined: 06. May 2004 12:24
Prozess verstecken
Hallo,
ist es irgendwie möglich einen Prozess der von root gestartet wurde vor den usern zu verstecken? Immer wen ich als user Top aufrufe sehe ich auch die root prozesse. Und es sollte nicht unbedingt jeder benutzer wissen was so alles auf meinem rechner läuft.
ist es irgendwie möglich einen Prozess der von root gestartet wurde vor den usern zu verstecken? Immer wen ich als user Top aufrufe sehe ich auch die root prozesse. Und es sollte nicht unbedingt jeder benutzer wissen was so alles auf meinem rechner läuft.
coole frage
habe leider keine antwort, aber es ist ist wirklich eine interessante frage.
was mir einfällt, ist den usern einfach zu verbieten (mit chmod) den befehl ps aufzurufen.
gruss mrvim
was mir einfällt, ist den usern einfach zu verbieten (mit chmod) den befehl ps aufzurufen.
gruss mrvim
Dieser Beitrag gehört wohl in diesen Thread.
Die Installation von Rootkits, um Prozesse zu verstecken, würde ich ablehnen. Die Binaries haben häufig Fehler und passen nicht zum eigentlichen System. Ein unter eigener Kontrolle stehender LKM-Trojaner wäre vielleicht eine Möglichkeit, aber auch das würde ich selbst nicht gern machen.
Mit reiner Zugriffskontrolle auf ps, top und Konsorten ist es mit Sicherheit nicht getan, da ein hinreichend gewitzter User immer noch von Hand unterhalb von /proc kramen kann. Da müsste man schon ls, cat, cd usw. mit verbieten...
Jochen
Die Installation von Rootkits, um Prozesse zu verstecken, würde ich ablehnen. Die Binaries haben häufig Fehler und passen nicht zum eigentlichen System. Ein unter eigener Kontrolle stehender LKM-Trojaner wäre vielleicht eine Möglichkeit, aber auch das würde ich selbst nicht gern machen.
Mit reiner Zugriffskontrolle auf ps, top und Konsorten ist es mit Sicherheit nicht getan, da ein hinreichend gewitzter User immer noch von Hand unterhalb von /proc kramen kann. Da müsste man schon ls, cat, cd usw. mit verbieten...
Jochen
Die grösste Lüge der EDV? "Mal eben..."
Hi
der "einfache" Linuxkernel bietet sowas nicht an. Soweit ich weiß kann man das aber mit einem Kernelpatch realisieren - grsecurity -
Da ich das aber nicht sicher weiß solltest du mal auf deren Seite vorbeischauen und dir die Features mal genau anschauen.
http://www.grsecurity.net/
Solche Massnahmen erfordern oft einen tiefen Eingriff in das System und sind mit Vorsicht zu geniessen. Wenn man gewisse Funktionalitäten abschaltet hat das oft ungeahnte Auswirkungen. Versuchen kostet nichts
MfG
der "einfache" Linuxkernel bietet sowas nicht an. Soweit ich weiß kann man das aber mit einem Kernelpatch realisieren - grsecurity -
Da ich das aber nicht sicher weiß solltest du mal auf deren Seite vorbeischauen und dir die Features mal genau anschauen.
http://www.grsecurity.net/
Solche Massnahmen erfordern oft einen tiefen Eingriff in das System und sind mit Vorsicht zu geniessen. Wenn man gewisse Funktionalitäten abschaltet hat das oft ungeahnte Auswirkungen. Versuchen kostet nichts
MfG
in der 2.ausgabe von "hakin9" war ein guter artikel mit beschreibung wie man sowas macht:
"Die Bilbliothek libproc - der schwache Punkt vieler Systeme. In diesem Artikel finden Sie die Beschreibung der Bibliothek, die entscheidet was die Anwendungen vom Paket procps anzeigen."
http://www.haking.pl/de/index.php?page=archiv -- den artikel gibts leider nicht online.
> Und wenn du das mit der Nutzungsbeschränkung von ps realisieren willst, musst du auch top, pstree und alle Programme, die Prozesse anzeigen können, beschränken...
das braucht man eben nicht, weil alle die gleich bibliothek nutzen
"Die Bilbliothek libproc - der schwache Punkt vieler Systeme. In diesem Artikel finden Sie die Beschreibung der Bibliothek, die entscheidet was die Anwendungen vom Paket procps anzeigen."
http://www.haking.pl/de/index.php?page=archiv -- den artikel gibts leider nicht online.
> Und wenn du das mit der Nutzungsbeschränkung von ps realisieren willst, musst du auch top, pstree und alle Programme, die Prozesse anzeigen können, beschränken...
das braucht man eben nicht, weil alle die gleich bibliothek nutzen
... bis auf mein Shellskript, das /proc durchforstet.
EDIT: Nicht, dass ich ein solches jetzt in der Hand hätte. Aber schon mit einem simplenerfährt man eine Menge - ganz an libproc vorbei...
Jochen
EDIT: Nicht, dass ich ein solches jetzt in der Hand hätte. Aber schon mit einem simplen
Code: Select all
for PROC in $(find /proc -type d -name "[0-9]*" -maxdepth 1 -print 2>/dev/null) ; do
cat $PROC/status
done
Jochen
Last edited by jochen on 07. May 2004 14:14, edited 1 time in total.
Die grösste Lüge der EDV? "Mal eben..."