Prozess verstecken

Post Reply
Message
Author
trickkiste
Posts: 14
Joined: 06. May 2004 12:24

Prozess verstecken

#1 Post by trickkiste »

Hallo,
ist es irgendwie möglich einen Prozess der von root gestartet wurde vor den usern zu verstecken? Immer wen ich als user Top aufrufe sehe ich auch die root prozesse. Und es sollte nicht unbedingt jeder benutzer wissen was so alles auf meinem rechner läuft.

mrvim

coole frage

#2 Post by mrvim »

habe leider keine antwort, aber es ist ist wirklich eine interessante frage.

was mir einfällt, ist den usern einfach zu verbieten (mit chmod) den befehl ps aufzurufen.

gruss mrvim

User avatar
Lateralus
prolinux-forum-admin
Posts: 1238
Joined: 05. May 2004 7:35

#3 Post by Lateralus »

Ist mir nicht bekannt, dass das möglich ist. Und wenn du das mit der Nutzungsbeschränkung von ps realisieren willst, musst du auch top, pstree und alle Programme, die Prozesse anzeigen können, beschränken...

User avatar
jochen
prolinux-forum-admin
Posts: 699
Joined: 14. Jan 2000 15:37
Location: Jülich
Contact:

#4 Post by jochen »

Dieser Beitrag gehört wohl in diesen Thread.

Die Installation von Rootkits, um Prozesse zu verstecken, würde ich ablehnen. Die Binaries haben häufig Fehler und passen nicht zum eigentlichen System. Ein unter eigener Kontrolle stehender LKM-Trojaner wäre vielleicht eine Möglichkeit, aber auch das würde ich selbst nicht gern machen.

Mit reiner Zugriffskontrolle auf ps, top und Konsorten ist es mit Sicherheit nicht getan, da ein hinreichend gewitzter User immer noch von Hand unterhalb von /proc kramen kann. Da müsste man schon ls, cat, cd usw. mit verbieten... :wink:

Jochen
Die grösste Lüge der EDV? "Mal eben..."

Hein

#5 Post by Hein »

Hi
der "einfache" Linuxkernel bietet sowas nicht an. Soweit ich weiß kann man das aber mit einem Kernelpatch realisieren - grsecurity -
Da ich das aber nicht sicher weiß solltest du mal auf deren Seite vorbeischauen und dir die Features mal genau anschauen.
http://www.grsecurity.net/
Solche Massnahmen erfordern oft einen tiefen Eingriff in das System und sind mit Vorsicht zu geniessen. Wenn man gewisse Funktionalitäten abschaltet hat das oft ungeahnte Auswirkungen. Versuchen kostet nichts :)
MfG

User avatar
jochen
prolinux-forum-admin
Posts: 699
Joined: 14. Jan 2000 15:37
Location: Jülich
Contact:

#6 Post by jochen »

... ausser Zeit & Nerven... :wink:

(siehe Signatur)

Jochen
Die grösste Lüge der EDV? "Mal eben..."

kanonenfutter

#7 Post by kanonenfutter »

in der 2.ausgabe von "hakin9" war ein guter artikel mit beschreibung wie man sowas macht:
"Die Bilbliothek libproc - der schwache Punkt vieler Systeme. In diesem Artikel finden Sie die Beschreibung der Bibliothek, die entscheidet was die Anwendungen vom Paket procps anzeigen."
http://www.haking.pl/de/index.php?page=archiv -- den artikel gibts leider nicht online.

> Und wenn du das mit der Nutzungsbeschränkung von ps realisieren willst, musst du auch top, pstree und alle Programme, die Prozesse anzeigen können, beschränken...

das braucht man eben nicht, weil alle die gleich bibliothek nutzen :-)

User avatar
jochen
prolinux-forum-admin
Posts: 699
Joined: 14. Jan 2000 15:37
Location: Jülich
Contact:

#8 Post by jochen »

... bis auf mein Shellskript, das /proc durchforstet. :P

EDIT: Nicht, dass ich ein solches jetzt in der Hand hätte. Aber schon mit einem simplen

Code: Select all

for PROC in $(find /proc -type d -name "[0-9]*" -maxdepth 1 -print 2>/dev/null) ; do
    cat $PROC/status
done
erfährt man eine Menge - ganz an libproc vorbei...

Jochen
Last edited by jochen on 07. May 2004 14:14, edited 1 time in total.
Die grösste Lüge der EDV? "Mal eben..."

User avatar
Lateralus
prolinux-forum-admin
Posts: 1238
Joined: 05. May 2004 7:35

#9 Post by Lateralus »

@kanonenfutter

man lernt nie aus. thx! ;-)

kanonenfutter

#10 Post by kanonenfutter »

> ... bis auf mein Shellskript, das /proc durchforstet.

tja, dann führt wohl doch nichts daran vorbei, auch den kernel etwas anzupassen.

Post Reply