Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Prozess verstecken

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
trickkiste



Anmeldungsdatum: 06.05.2004
Beiträge: 14

BeitragVerfasst am: 06. Mai 2004 23:37   Titel: Prozess verstecken

Hallo,
ist es irgendwie möglich einen Prozess der von root gestartet wurde vor den usern zu verstecken? Immer wen ich als user Top aufrufe sehe ich auch die root prozesse. Und es sollte nicht unbedingt jeder benutzer wissen was so alles auf meinem rechner läuft.
 
Benutzer-Profile anzeigen Private Nachricht senden

mrvim
Gast





BeitragVerfasst am: 07. Mai 2004 0:33   Titel: coole frage

habe leider keine antwort, aber es ist ist wirklich eine interessante frage.

was mir einfällt, ist den usern einfach zu verbieten (mit chmod) den befehl ps aufzurufen.

gruss mrvim
 

Lateralus
prolinux-forum-admin


Anmeldungsdatum: 05.05.2004
Beiträge: 1238

BeitragVerfasst am: 07. Mai 2004 6:27   Titel:

Ist mir nicht bekannt, dass das möglich ist. Und wenn du das mit der Nutzungsbeschränkung von ps realisieren willst, musst du auch top, pstree und alle Programme, die Prozesse anzeigen können, beschränken...
 
Benutzer-Profile anzeigen Private Nachricht senden

jochen
prolinux-forum-admin


Anmeldungsdatum: 14.01.2000
Beiträge: 699
Wohnort: Jülich

BeitragVerfasst am: 07. Mai 2004 9:56   Titel:

Dieser Beitrag gehört wohl in diesen Thread.

Die Installation von Rootkits, um Prozesse zu verstecken, würde ich ablehnen. Die Binaries haben häufig Fehler und passen nicht zum eigentlichen System. Ein unter eigener Kontrolle stehender LKM-Trojaner wäre vielleicht eine Möglichkeit, aber auch das würde ich selbst nicht gern machen.

Mit reiner Zugriffskontrolle auf ps, top und Konsorten ist es mit Sicherheit nicht getan, da ein hinreichend gewitzter User immer noch von Hand unterhalb von /proc kramen kann. Da müsste man schon ls, cat, cd usw. mit verbieten... Wink

Jochen
_________________
Die grösste Lüge der EDV? "Mal eben..."
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Hein
Gast





BeitragVerfasst am: 07. Mai 2004 10:54   Titel:

Hi
der "einfache" Linuxkernel bietet sowas nicht an. Soweit ich weiß kann man das aber mit einem Kernelpatch realisieren - grsecurity -
Da ich das aber nicht sicher weiß solltest du mal auf deren Seite vorbeischauen und dir die Features mal genau anschauen.
http://www.grsecurity.net/
Solche Massnahmen erfordern oft einen tiefen Eingriff in das System und sind mit Vorsicht zu geniessen. Wenn man gewisse Funktionalitäten abschaltet hat das oft ungeahnte Auswirkungen. Versuchen kostet nichts Smile
MfG
 

jochen
prolinux-forum-admin


Anmeldungsdatum: 14.01.2000
Beiträge: 699
Wohnort: Jülich

BeitragVerfasst am: 07. Mai 2004 10:59   Titel:

... ausser Zeit & Nerven... Wink

(siehe Signatur)

Jochen
_________________
Die grösste Lüge der EDV? "Mal eben..."
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

kanonenfutter
Gast





BeitragVerfasst am: 07. Mai 2004 12:58   Titel:

in der 2.ausgabe von "hakin9" war ein guter artikel mit beschreibung wie man sowas macht:
"Die Bilbliothek libproc - der schwache Punkt vieler Systeme. In diesem Artikel finden Sie die Beschreibung der Bibliothek, die entscheidet was die Anwendungen vom Paket procps anzeigen."
http://www.haking.pl/de/index.php?page=archiv -- den artikel gibts leider nicht online.

> Und wenn du das mit der Nutzungsbeschränkung von ps realisieren willst, musst du auch top, pstree und alle Programme, die Prozesse anzeigen können, beschränken...

das braucht man eben nicht, weil alle die gleich bibliothek nutzen Smile
 

jochen
prolinux-forum-admin


Anmeldungsdatum: 14.01.2000
Beiträge: 699
Wohnort: Jülich

BeitragVerfasst am: 07. Mai 2004 14:01   Titel:

... bis auf mein Shellskript, das /proc durchforstet. Razz

EDIT: Nicht, dass ich ein solches jetzt in der Hand hätte. Aber schon mit einem simplen
Code:
for PROC in $(find /proc -type d -name "[0-9]*" -maxdepth 1 -print 2>/dev/null) ; do
    cat $PROC/status
done
erfährt man eine Menge - ganz an libproc vorbei...

Jochen
_________________
Die grösste Lüge der EDV? "Mal eben..."


Zuletzt bearbeitet von jochen am 07. Mai 2004 14:14, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Lateralus
prolinux-forum-admin


Anmeldungsdatum: 05.05.2004
Beiträge: 1238

BeitragVerfasst am: 07. Mai 2004 14:04   Titel:

@kanonenfutter

man lernt nie aus. thx! Wink
 
Benutzer-Profile anzeigen Private Nachricht senden

kanonenfutter
Gast





BeitragVerfasst am: 07. Mai 2004 16:14   Titel:

> ... bis auf mein Shellskript, das /proc durchforstet.

tja, dann führt wohl doch nichts daran vorbei, auch den kernel etwas anzupassen.
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy