Die erste Mount-Option heißt "hidepid" und ihr Wert definiert, wie viele Informationen zu Prozessen für Nicht-Eigentümer verfügbar sein sollen:
hidepid = 0 (Standard) bedeutet das alte Verhalten - jeder kann alle weltweit lesbaren / proc / PID / * -Dateien lesen.
hidepid = 1 bedeutet, dass Benutzer möglicherweise nicht auf Verzeichnisse / proc / PID / zugreifen, sondern auf ihre eigenen. Vertrauliche Dateien wie cmdline, sched * und status sind jetzt vor anderen Benutzern geschützt. Da die in proc_pid_permission () durchgeführten Berechtigungsprüfungen und die Berechtigungen der Dateien unberührt bleiben, werden Programme, die die Modi bestimmter Dateien erwarten, nicht verwechselt.
hidepid = 2 bedeutet hidepid = 1 plus alle / proc / PID / sind für andere Benutzer unsichtbar. Es bedeutet nicht, dass es verbirgt, ob ein Prozess existiert (es kann auf andere Weise gelernt werden, z. B. durch töten von -0 $ PID), aber es verbirgt Prozess-euid und egid. Es erschwert die Aufgabe des Eindringlings, Informationen über laufende Prozesse zu sammeln, ob ein Dämon mit erhöhten Berechtigungen ausgeführt wird, ob ein anderer Benutzer ein vertrauliches Programm ausführt, ob andere Benutzer überhaupt ein Programm ausführen usw.
gid = XXX definiert eine Gruppe, die alle Prozessinformationen erfassen kann (wie im Modus hidepid = 0). Diese Gruppe sollte verwendet werden, anstatt Nicht-Root-Benutzer in die Sudoers-Datei oder so etwas zu setzen. Nicht vertrauenswürdige Benutzer (wie Dämonen usw.), die die Aufgaben im gesamten System nicht überwachen sollen, sollten jedoch nicht zur Gruppe hinzugefügt werden.
hidepid = 1 oder höher soll den Zugriff auf procfs-Dateien einschränken, wodurch möglicherweise vertrauliche private Informationen wie genaue Tastenanschläge angezeigt werden:
http://www.openwall.com/lists/oss-security/2011/11/05/3
hidepid = 1/2 unterbricht nicht die Überwachung von Userspace-Tools. ps, top, pgrep und conky behandeln EPERM / ENOENT ordnungsgemäß und verhalten sich so, als ob der aktuelle Benutzer der einzige Benutzer ist, der Prozesse ausführt. pstree zeigt den Prozessunterbaum an, der den Prozess "pstree" enthält.