Intereting Posts
Как разрешить проблему с правами пользователя? Является ли `/ etc / X11 / xorg.conf` устаревшим? Почему sed действует по-разному в зависимости от выходного файла? Где я могу извлечь или скопировать man executable Изменение масштаба экрана в LXDE Почему я получаю ошибки «Идентификация столкновений между …» и как их исправить? Невозможно просмотреть некоторые языковые шрифты в Debian 8.2 Grub rescue "не найден: 'grub_efi_secure_boot'", не может исправить ошибку «неизвестной файловой системы» Что такое Rpmfusion Есть ли файловый менеджер, способный восстановить открытые окна? Доступна ли какая-либо специальная информация (например, предыдущая команда) для PROMPT_COMMAND? Возможно динамически изменяемый размер раздела в файле .. возможно? Дождитесь завершения процесса, прежде чем перейти к следующей строке в сценарии оболочки Использовать файлы math.h и ссылок объектов без -lm Как использовать wget для загрузки определенных файлов из определенного каталога, когда сам каталог не имеет index.html?

Ограничьте / proc / mounts, чтобы избежать воздействия / run / user /

EDIT : В настоящее время смотрим на это решение .. (пространства имен), но все равно не будем возражать против каких-либо указателей на то, что я делаю по-другому.

У нас есть пользовательская политика SELinux для CentOS 7.2, которая ограничивает пользователей ограниченной формой роли user_u. Часть этого отключает использование всего, что обращается к btmp / utmp / wtmp. Это делается без использования частного пространства имен mount. Мы хотели бы ограничить видимость других пользователей, которые в настоящее время вошли в систему.

По-прежнему можно перечислить пользователей в системе, выполнив df:

tmpfs 380M 0 380M 0% /run/user/3435 tmpfs 380M 0 380M 0% /run/user/3434 

/ proc / self / mounts (конечный плацдарм, начинающийся с / etc / mtab ) всегда будет перечислять общесистемные крепления (опять же, это без пространств имен монстров). В стороне (и в случае, если это имеет значение), у нас есть / proc, установленный с опцией hidepid = 2 .

Вопрос : Кто-нибудь знает способ ограничения / run / user / … от завершения в / proc / self / mounts ? Маунтин-пространства еще не исключены, но мы также хотели бы изучить альтернативы.