Linux如何禁止普通用户查看系统进程 proc权限控制方法

要限制linux用户查看其他用户的进程，可通过调整/proc的挂载参数实现；1. /proc是虚拟文件系统，默认所有用户可查看所有进程信息；2. 使用hidepid参数可控制进程可见性，hidepid=1隐藏其他用户进程，hidepid=2进一步隐藏自身进程部分信息；3. 可结合gid=指定特定组用户拥有完整访问权限；4. 对于更高级隔离，可使用容器或pam模块配置pid命名空间；5. 修改前需谨慎测试，考虑selinux/apparmor策略及远程登录安全性。

在Linux系统中，默认情况下普通用户可以通过

/proc

/proc

1.

/proc

登录后复制

目录的作用与默认权限

/proc

/proc/[pid]

例如，运行

ps aux

/proc/[pid]/status

关键点：

• /proc

  登录后复制
  是动态生成的，不能直接修改权限来完全阻止访问。
• 可以通过挂载选项或使用命名空间（如容器）来实现更细粒度的控制。

2. 使用

hidepid

登录后复制

参数限制进程可见性

Linux提供了一个非常实用的机制：在挂载

/proc

hidepid

修改方法：

编辑

/etc/fstab

proc /proc proc defaults 0 0

然后添加

hidepid

通义万相

通义万相，一个不断进化的AI艺术创作大模型

596

查看详情

proc /proc proc defaults,hidepid=2 0 0

注意： 修改后需要重新挂载/proc，或重启系统生效。

参数说明：

• hidepid=0

  登录后复制
  ：默认行为，所有人都能看到所有进程。

• hidepid=1

  登录后复制
  ：用户看不到其他用户的进程。

• hidepid=2

  登录后复制
  ：不仅看不到其他人的进程，连自己进程的部分信息也被隐藏。

• hidepid=4

  登录后复制
  ：启用审计日志记录，配合

  subset=pid

  登录后复制
  使用。

此外还可以结合

gid=

proc /proc proc defaults,hidepid=2,gid=admin 0 0

这样只有属于

admin

/proc

3. 配合PAM和命名空间实现更高级的隔离

对于更严格的场景，比如服务器上运行了多个非信任用户的服务，可以考虑使用容器技术（如Docker、LXC）或通过PAM模块配置会话环境，为每个用户创建独立的PID命名空间。

在这种环境中，用户只能看到自己的进程，根本无法接触到系统级的进程列表。这种方法更彻底，但也更复杂，适合有运维基础的人员使用。

适用情况：

• 多租户服务器
• 教学或开发用共享主机
• 安全要求较高的生产环境

4. 注意事项与常见问题

• 权限修改需谨慎：误操作可能导致系统命令（如

  top

  登录后复制
  、

  ps

  登录后复制
  ）无法正常工作。
• 测试环境优先：建议先在测试机器上验证效果，避免影响线上服务。
• SELinux/AppArmor：如果启用了安全模块，还需检查策略是否允许相关访问。
• 远程登录用户：即使设置了

  hidepid

  登录后复制
  ，也要确保SSH等服务不会暴露额外信息。

基本上就这些方法了。通过

hidepid

以上就是Linux如何禁止普通用户查看系统进程 proc权限控制方法的详细内容，更多请关注php中文网其它相关文章！