限制惡意使用者 (linux) 的 /proc fs 的最佳方法是什麼？

我正在嘗試對 procfs 進行限制，例如只有某些成員組可以執行讀寫操作。

核心文件說我們可以通過設置hidepid和gidin來做到這一點/etc/fstab。它將限制惡意使用者在 procfs 上進行讀寫，但我懷疑惡意使用者（/etc/fstab在

/proc 是核心和使用者空間之間所有內容的介面，其中大多數內容不能以任何其他方式獲得（對於 pid 目錄下的內容，該程序之外的內容）。因此hidepid=2可以有效地向其他使用者隱藏程序的命令行和環境等資訊。

一些資訊可以通過副作用來確定。例如，具有給定 pid 的程序的存在可以通過嘗試殺死它來確定，如果程序不存在，如果呼叫程序沒有正確的權限，則信號 0:kill()失敗。類似地，可以通過嘗試連接來確定打開的埠。ESRCH``EPERM

引用自：https://unix.stackexchange.com/questions/572903