• [^] # Re: utilisation de sudo

    Posté par . En réponse au journal Débugger un problème de performance avec strace. Évalué à 3.

    En tout cas ça me va bien que ça ne soit pas actif sur mon serveur, c'est bien de devoir être root.

    C'est l'idée effectivement, car autrement si un malware arrive à exécuter du code en tant que ton utilisateur sur ta machine, il peux ptrace les autres processus et lire leur mémoire, ça veut dire potentiellement lire la mémoire de firefox ou ssh et y trouver des mots de passe en clair.
    C'est pour cela que par défaut, un processus ne peux ptrace que ses processus enfant, c'est à dire ceux qui ont été lancés par lui ou par un de ses enfants.

    À noter que lorsqu'on demande à strace de lancer le processus, aucun droit particulier n'est nécessaire (comme gdb, finalement, vu que ça passe aussi par ptrace)

    Car un process peut toujours ptrace un de ses enfants. Mais il est possible d'interdire cela aussi (voir le lien plus bas)

    Je me doutais que ce genre de truc existait, merci pour la mention. Il y a peut-être aussi des solutions à base de groupe unix ?

    j'ai un peu cherché et j'ai trouvé quelque chose qui pourrait être intéressant, un processus peut demander à être éxonéré de cette restriction grace à un appel système. Comme je m'attache à des processus de binaires que je développe, je peux facilement ajouter cet appel système dans mon code pour être tranquille et ne pas avoir à réduire la sécurité de toute mon installation.

    https://www.man7.org/linux/man-pages/man2/PR_SET_PTRACER.2const.html