我正在运行 arch linux hardened (5.11.13-hardened1-1-hardened) 并通过 fstab 设置 hidepid=2:
proc /proc proc nosuid,nodev,noexec,hidepid=2,gid=proc 0 0
并在 systemd-logind.service 的 and 覆盖文件中作为 hidepid.conf:
[Service]
SupplementaryGroups=proc
根据arch wiki 安全性,直到不久前更新后一切都运行良好,我认为这是因为 systemd-248 更新,但我显然不确定。
在阅读 systemd 更改时,遇到了关于“ProtectProc=invisible”的本节,该部分现在默认设置在 systemd-logind.service 中,应该废弃 hidepid=2 的 fstab 设置,但在“ProtectProc=”的描述中这里freedesktop.org systemdprotectproc=
如果内核不支持 per-mount point hidepid= mount options 此设置仍然无效,并且单元的进程将能够访问和查看其他进程,就像未使用该选项一样。此选项仅适用于系统服务,不支持在服务管理器的每用户实例中运行的服务。
那么这是什么意思呢?这是我可以通过硬化内核中的内核参数修复的东西吗?
此致