linux - hidepid=2 更新后停止工作。内核不支持“每个挂载点”？

问题描述

我正在运行 arch linux hardened (5.11.13-hardened1-1-hardened) 并通过 fstab 设置 hidepid=2：

proc            /proc       proc        nosuid,nodev,noexec,hidepid=2,gid=proc  0 0

并在 systemd-logind.service 的 and 覆盖文件中作为 hidepid.conf：

[Service]
SupplementaryGroups=proc

根据arch wiki 安全性，直到不久前更新后一切都运行良好，我认为这是因为 systemd-248 更新，但我显然不确定。

在阅读 systemd 更改时，遇到了关于“ProtectProc=invisible”的本节，该部分现在默认设置在 systemd-logind.service 中，应该废弃 hidepid=2 的 fstab 设置，但在“ProtectProc=”的描述中这里freedesktop.org systemdprotectproc=

如果内核不支持 per-mount point hidepid= mount options 此设置仍然无效，并且单元的进程将能够访问和查看其他进程，就像未使用该选项一样。此选项仅适用于系统服务，不支持在服务管理器的每用户实例中运行的服务。

那么这是什么意思呢？这是我可以通过硬化内核中的内核参数修复的东西吗？

此致

标签： linuxsystemdarchlinuxfstabhardening