Sécurité : /proc > Option de montage "hidepid=2" - résultat non-prévu

[dezix]

Bonjour,

Pour appliquer les Recommandations de durcissement des Systèmes GNU-Linux proposées par ANSSI (page 16)


j'ai modifié : /etc/fstab

comme cela :

Code : Tout sélectionner

# grep proc  /etc/fstab
proc     /proc   proc    hidepid=2,gid=1500      0       0

et pourtant après reboot,
l'utilisateur ordinaire a encore accès au contenu de /proc
alors qu'il n'est pas dans le groupe "monitoring" avec gid = 1500

Code : Tout sélectionner

toto@debian:~$ groups
toto cdrom floppy sudo audio dip video plugdev netdev bluetooth scanner lpadmin vboxsf

Code : Tout sélectionner

toto@debian:~$ ls -dl /proc
dr-xr-xr-x 140 root root 0 mars  21 08:23 /proc

toto@debian:~$ ls -l /proc/cpuinfo
-r--r--r-- 1 root root 0 mars  21 08:23 /proc/cpuinfo

et

Code : Tout sélectionner

# mount | grep proc
proc on /proc type proc (rw,relatime,gid=1500,hidepid=2)
systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=30,pgrp=1,timeout=0,minproto=5,maxproto=5,direct,pipe_ino=9871)

J'ai aussi testé sans l'option gid=1500 :

Code : Tout sélectionner

# mount -o remount,rw,hidepid=2 /proc

cela n'y change rien.


Je ne comprends pas ce qui provoque de manière incontrôlée l'option : rw


Pour contourner cela,
j'aurais changé récursivement les permissions sur /proc à 600
mais une petite voix me dit que ce n'est pas une bonne solution ???


Qu'en pensez-vous ?

Merci.

[dezix]

En fait je me rends compte que mount ajoute automatiquement les options (rw,relatime)

Cela vaut exactement pour l'option defaults seule.

Ce qui ne correspond pas à : defaults ⇔ rw,suid,dev,exec,auto,nouser,async
décrit dans : fstab - Debian Wiki

Pour info supplémentaire :

Code : Tout sélectionner

# cat /etc/debian_version
10.8

# uname -a
Linux debian 4.19.0-14-amd64 #1 SMP Debian 4.19.171-2 (2021-01-30) x86_64 GNU/Linux

J'ai recherché sur toile dont Overview of the Linux Virtual File System | Mount Options — The Linux Kernel documentation
mais je ne trouve toujours pas de réponse.

[piratebab]

il me semble que les 0 0 au bout de ta ligne fstabsont aussià modifier. Je ne sais plus à quo ils servent, mais regarde leur utilité

[PengouinPdt]

@piratebab: non ce n'est pas les deux derniers champs qui sont impliqués ;)

- le 5ème est pour "la sauvegarde" du FS
- le 6ème est pour déterminer l'ordre de démarrage du FS

Bref, normalement aucune raison particulière de sécurité pour changer ses valeurs.

cf: https://man7.org/linux/man-pages/man5/fstab.5.html

@dezix
Normalement, en effet, aucun autre utilisateur ne devrait être capable de voir les processus des autres.
Seul le(s) utilisateur(s) dans le groupe autorisé doi(ven)t pouvoir lire les processus.

Concernant les options "rw", "relatime", il semble que ce soit des options par défaut, en effet. Mais la lecture du man mount ne me permet pas de l'affirmer, si ce n'est dans le contexte de l'usage de la valeur "defauts", ce qui n'est pas le cas de ta définition de /proc - Quid ?!

[MicP]

Bonjour

… - le 6ème est pour déterminer l'ordre de démarrage du FS …

La valeur donnée dans le sixième champ
déterminera l'ordre dans lequel la vérification du système de fichiers par la commande fsck sera faite.

Code : Tout sélectionner

…
       The sixth field (fs_passno).
              This field is used by fsck(8) to determine the order in which filesystem checks are done at boot  time.
              The  root  filesystem  should  be  specified  with  a  fs_passno of 1.  Other filesystems should have a
              fs_passno of 2.  Filesystems within a drive will be checked sequentially, but filesystems on  different
              drives  will be checked at the same time to utilize parallelism available in the hardware.  Defaults to
              zero (don't fsck) if not present.
…

=======
@dezix

…l'utilisateur ordinaire a encore accès au contenu de /proc …

Oui, il y a toujours accès,
mais avec l'option de montage hidepid=2
il n'aura plus accès qu'aux informations concernant les processus dont son compte utilisateur est le propriétaire
et donc, à aucune autre information concernant les processus dont son compte utilisateur n'est pas le propriétaire.

Voir le retour de la ligne de commande suivante :

Code : Tout sélectionner

ls -ld /proc/[0-9]*

[PengouinPdt]

@MicP: Bien vu les précisions ;)

[MicP]

Par contre, ne faîtes pas ça sur un système avec lequel vous compter utiliser certains programmes comme par exemple synaptic
synaptic ne veut plus démarrer si /proc est monté avec l'option hidepid=2


Je n'ai pas testé toutes les applications, mais il doit y en avoir d'autres qui sont dans le même cas
peut-être parce qu'elle ont besoin d'aller voir ce que font les autres compte utilisateurs dans /proc

[PengouinPdt]

Euhh, t'es sûr de toi sur ce coup ? car perso, je n'avais pas eu de soucis à l'époque où j'avais paramétré ma debian. Quid ?!

[MicP]

Ajoute la ligne suivante à ton fichier /etc/fstab :

Code : Tout sélectionner

proc  /proc  proc  hidepid=2

redémarre, … à première vue, tout va bien,
mais essaye de lancer synaptic …

Même problème si tu mets dans ton fichier /etc/fstab :

Code : Tout sélectionner

proc  /proc  proc  rw,nosuid,nodev,noexec,relatime,hidepid=2