プロセス引数を他のユーザーから隠す方法は？

現在、hidepidのprocfsマウントオプションがあります 他のユーザーから引数を非表示にし、オプションで1つのグループがすべてのプロセスを表示できるようにします。

最初のマウントオプションは「hidepid」と呼ばれ、その値は非所有者が利用できるようにするプロセスに関する情報を定義します。

hidepid = 0（デフォルト）は古い動作を意味します-誰でも誰でも読める/ proc/PID/*ファイルを読むことができます。

hidepid = 1は、ユーザーが/ proc/PID /ディレクトリにアクセスできず、自分のディレクトリにアクセスできることを意味します。 cmdline、sched *、statusなどの機密ファイルは、他のユーザーから保護されるようになりました。 proc_pid_permission（）で行われるパーミッションチェックとファイルのパーミッションは変更されないため、特定のファイルのモードを期待するプログラムは混乱しません。

hidepid = 2は、hidepid = 1に加えて、すべての/ proc/PID /が他のユーザーから見えないことを意味します。プロセスが存在するかどうかを隠すことを意味するのではなく（kill -0 $ PIDなどの他の方法で学習できます）、プロセスのeuidとegidを隠します。実行中のプロセスに関する情報を収集する侵入者のタスク、一部のデーモンが昇格された特権で実行されるかどうか、他のユーザーが機密プログラムを実行するかどうか、他のユーザーがプログラムを実行するかどうかなどを複雑にします。

gid = XXXは、すべてのプロセスの情報を収集できるグループを定義します（hidepid = 0モードなど）。非rootユーザーをsudoersファイルなどに入れる代わりに、このグループを使用する必要があります。ただし、システム全体のタスクを監視することになっていない信頼されていないユーザー（デーモンなど）は、グループに追加しないでください。

hidepid = 1以上はprocfsファイルへのアクセスを制限するように設計されており、正確なキーストロークタイミングなどの機密情報が明らかになる場合があります。

http://www.openwall.com/lists/oss-security/2011/11/05/

hidepid = 1/2は、ユーザースペースの監視ツールを中断しません。 ps、top、pgrep、およびconkyは、EPERM/ENOENTを正常に処理し、現在のユーザーがプロセスを実行している唯一のユーザーであるかのように動作します。 pstreeは、「pstree」プロセスを含むプロセスサブツリーを示します。