[FreeBSD] Toegang afschermen

Er zit een feature in sysctl, ben alleen even vergeten hoe het heet. Zal het ff voor je opzoeken.

In linux heb je hier bijvoorbeeld grsecurity voor, misschien is dat er ook in FreeBSD versie? Anders even googlen erop, of gewoon zelf aan de slag.

Ik heb het inmiddels gevonden (quote van een andere dude @groups.google.com)

Use the "kern.ps_showallprocs" sysctl knob.

Run "sysctl -w kern.ps_showallprocs=0" as root.

Put "kern.ps_showallprocs=0" in your /etc/sysctl.conf file to make
your system do this whenever it boots up.

This will hide other users' processes in both 'top' and 'ps'. The
restrictions do not apply to thel 'root' user though.

Users can still interrogate your "/proc" directory though, so you may
want to unmount that if you're feeling really paranoid. Just be aware
that some programmes require access to "/proc" to run correctly.

Ik heb het zelf ook weleens geprobeerd....Hiermee kunnen ze alleen hun eigen processes zien. Finger blijft wel gewoon werken. Wil je dat echt weg hebben dan moet je toch echt met 'jail' aan de slag.

[ Voor 19% gewijzigd door Verwijderd op 25-12-2002 00:01 ]

Is wel nette oplossing in FBSD. Al kun je met een script natuurlijk nog keurig de ingelogde users laten zien.. maar dat houd je wel..

bedankt voor idee ik heb nu al veel gedaan om secure te blijven en ik denk dat ik het al aardig voor elkaar heb

Steije schreef op 24 December 2002 @ 23:52:
Ik heb een systeem waar gebruikers op actief zijn. Op het moment kunnen zij door middel van 'w' en 'finger' (etc) zien wie er vanaf waar is ingelogd. Daar ben ik niet zo tevreden mee, ik zou er graag voor willen zorgen dat een user alleen zijn eigen inlogsessies te zien krijgt.
...

De finger daemon kun je ook gewoon uitzetten, heb je weer een probleem minder
Stel de permissies voor /var/log/wtmp goed in, eg 0640 root:wheel

[ Voor 30% gewijzigd door Verwijderd op 25-12-2002 13:38 ]

Verwijderd schreef op 25 december 2002 @ 13:35:
[...]

De finger daemon kun je ook gewoon uitzetten, heb je weer een probleem minder
Stel de permissies voor /var/log/wtmp goed in, eg 0640 root:wheel

edit:
dit is voor last, niet voor w

Toevoeging: Vergeet dan niet even de /etc/daily/monthly etc. scripts bij te werken. Anders krijg je waarschijnlijk iedere keer de melding dat de permissies niet juist staan, en dat hij ze misschien zelfs weer terugzet.

En om het helemaal evil te doen, zet /home (of /usr/home, whatever) op 711, zodat users niet in /home kunnen zien welke andere users er zijn. Daarna /etc/passwd op 600 en 't houdt helemaal op wat dat betreft.

passwd wordt trouwens wel standaard leesbaar gemaakt voor iedereen door tooltjes als passwd (denk ik), dus zou je daar wat meer werk voor moeten doen

Btw, die sysctl showallprocs is eigenlijk een beetje een wassen neus, ps -p <pid> laat nog steeds processen van andere users zien, en /proc ook. In 5.0 is de sysctl verplaatst en werkt het ook echt

/proc is vrij gemakkelijk uitteschakelen. Het gebruik van /proc is vrijwillig als je het uitschakeld zullen er geen proggies zijn die daarna opeens niet meer werken (op openoffice na dan )

in /etc/fstab bij /proc ff "ro,noauto" zetten

envoor ps -p <PID> , dat werkt bij mij niet in combinatie met security.bsd.see_other_uids=0, dit houd in dat ik geen processen van andere users kan zien (Ik run FreeBSD -CURRENT misschien dat ze dat niet zolang geleden veranderd hebben, dat weetikniet).

Dus volgens mij is security.bsd.see_other_uids=0 redelijk secure, its a start anyway.....

[ Voor 49% gewijzigd door Verwijderd op 25-12-2002 17:32 ]

Verwijderd schreef op 25 December 2002 @ 13:35:
[...]

De finger daemon kun je ook gewoon uitzetten, heb je weer een probleem minder
Stel de permissies voor /var/log/wtmp goed in, eg 0640 root:wheel

edit:
dit is voor last, niet voor w

Verschil tussen w en who is dat de een het uit /proc haalt en de ander uit wtmp (althans op Linux)
chmod o-r /var/log/wtmp en /var/run/wtmp

maar bij mij werkt last dan nog wel gewoon als user...

serkoon schreef op 25 December 2002 @ 15:31:
En om het helemaal evil te doen, zet /home (of /usr/home, whatever) op 711, zodat users niet in /home kunnen zien welke andere users er zijn.

Dat sloppt SFTP (onderdeel van SSH) zie ik nu