Sécurité : /proc > Option de montage "hidepid=2" - résultat non-prévu

Demande d'aide : c'est ici.
Répondre
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 1271
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

21 mars 2021, 10:13

Bonjour, :006:

Pour appliquer les Recommandations de durcissement des Systèmes GNU-Linux proposées par ANSSI (page 16)


j'ai modifié : /etc/fstab

comme cela :

Code : Tout sélectionner

# grep proc  /etc/fstab
proc     /proc   proc    hidepid=2,gid=1500      0       0

et pourtant après reboot,
l'utilisateur ordinaire a encore accès au contenu de /proc
alors qu'il n'est pas dans le groupe "monitoring" avec gid = 1500

Code : Tout sélectionner

toto@debian:~$ groups
toto cdrom floppy sudo audio dip video plugdev netdev bluetooth scanner lpadmin vboxsf

Code : Tout sélectionner

toto@debian:~$ ls -dl /proc
dr-xr-xr-x 140 root root 0 mars  21 08:23 /proc

toto@debian:~$ ls -l /proc/cpuinfo
-r--r--r-- 1 root root 0 mars  21 08:23 /proc/cpuinfo

et

Code : Tout sélectionner

# mount | grep proc
proc on /proc type proc (rw,relatime,gid=1500,hidepid=2)
systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=30,pgrp=1,timeout=0,minproto=5,maxproto=5,direct,pipe_ino=9871)

J'ai aussi testé sans l'option gid=1500 :

Code : Tout sélectionner

# mount -o remount,rw,hidepid=2 /proc
cela n'y change rien.


Je ne comprends pas ce qui provoque de manière incontrôlée l'option : rw


Pour contourner cela,
j'aurais changé récursivement les permissions sur /proc à 600
mais une petite voix me dit que ce n'est pas une bonne solution ???


Qu'en pensez-vous ?

Merci.
Debian testing/stable - XFCE
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 1271
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

21 mars 2021, 14:42

En fait je me rends compte que mount ajoute automatiquement les options (rw,relatime)

Cela vaut exactement pour l'option defaults seule.

Ce qui ne correspond pas à : defaults ⇔ rw,suid,dev,exec,auto,nouser,async
décrit dans : fstab - Debian Wiki

Pour info supplémentaire :

Code : Tout sélectionner

# cat /etc/debian_version
10.8

# uname -a
Linux debian 4.19.0-14-amd64 #1 SMP Debian 4.19.171-2 (2021-01-30) x86_64 GNU/Linux

J'ai recherché sur toile dont Overview of the Linux Virtual File System | Mount Options — The Linux Kernel documentation
mais je ne trouve toujours pas de réponse.
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3654
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

22 mars 2021, 10:30

il me semble que les 0 0 au bout de ta ligne fstabsont aussià modifier. Je ne sais plus à quo ils servent, mais regarde leur utilité
Avatar du membre
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Enregistré le : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors ligne

22 mars 2021, 17:00

@piratebab: non ce n'est pas les deux derniers champs qui sont impliqués ;)

- le 5ème est pour "la sauvegarde" du FS
- le 6ème est pour déterminer l'ordre de démarrage du FS

Bref, normalement aucune raison particulière de sécurité pour changer ses valeurs.

cf: https://man7.org/linux/man-pages/man5/fstab.5.html

@dezix
Normalement, en effet, aucun autre utilisateur ne devrait être capable de voir les processus des autres.
Seul le(s) utilisateur(s) dans le groupe autorisé doi(ven)t pouvoir lire les processus.

Concernant les options "rw", "relatime", il semble que ce soit des options par défaut, en effet. Mais la lecture du man mount ne me permet pas de l'affirmer, si ce n'est dans le contexte de l'usage de la valeur "defauts", ce qui n'est pas le cas de ta définition de /proc - Quid ?!
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
MicP
Modérateur
Modérateur
Messages : 675
Enregistré le : 16 avr. 2016, 22:14
Status : Hors ligne

22 mars 2021, 17:25

Bonjour
… - le 6ème est pour déterminer l'ordre de démarrage du FS …
La valeur donnée dans le sixième champ
déterminera l'ordre dans lequel la vérification du système de fichiers par la commande fsck sera faite.
man fstab a écrit :

Code : Tout sélectionner

…
       The sixth field (fs_passno).
              This field is used by fsck(8) to determine the order in which filesystem checks are done at boot  time.
              The  root  filesystem  should  be  specified  with  a  fs_passno of 1.  Other filesystems should have a
              fs_passno of 2.  Filesystems within a drive will be checked sequentially, but filesystems on  different
              drives  will be checked at the same time to utilize parallelism available in the hardware.  Defaults to
              zero (don't fsck) if not present.
…
=======
@dezix
…l'utilisateur ordinaire a encore accès au contenu de /proc
Oui, il y a toujours accès,
mais avec l'option de montage hidepid=2
il n'aura plus accès qu'aux informations concernant les processus dont son compte utilisateur est le propriétaire
et donc, à aucune autre information concernant les processus dont son compte utilisateur n'est pas le propriétaire.

Voir le retour de la ligne de commande suivante :

Code : Tout sélectionner

ls -ld /proc/[0-9]*
Avatar du membre
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Enregistré le : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors ligne

23 mars 2021, 12:49

@MicP: Bien vu les précisions ;)
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
MicP
Modérateur
Modérateur
Messages : 675
Enregistré le : 16 avr. 2016, 22:14
Status : Hors ligne

23 mars 2021, 22:32

Par contre, ne faîtes pas ça sur un système avec lequel vous compter utiliser certains programmes comme par exemple synaptic
synaptic ne veut plus démarrer si /proc est monté avec l'option hidepid=2


Je n'ai pas testé toutes les applications, mais il doit y en avoir d'autres qui sont dans le même cas
peut-être parce qu'elle ont besoin d'aller voir ce que font les autres compte utilisateurs dans /proc
Avatar du membre
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Enregistré le : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors ligne

24 mars 2021, 12:15

Euhh, t'es sûr de toi sur ce coup ? car perso, je n'avais pas eu de soucis à l'époque où j'avais paramétré ma debian. Quid ?!
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
MicP
Modérateur
Modérateur
Messages : 675
Enregistré le : 16 avr. 2016, 22:14
Status : Hors ligne

24 mars 2021, 17:45

Ajoute la ligne suivante à ton fichier /etc/fstab :

Code : Tout sélectionner

proc  /proc  proc  hidepid=2
redémarre, … à première vue, tout va bien,
mais essaye de lancer synaptic

Même problème si tu mets dans ton fichier /etc/fstab :

Code : Tout sélectionner

proc  /proc  proc  rw,nosuid,nodev,noexec,relatime,hidepid=2
Répondre