hidepid = 0 (по умолчанию) означает старое поведение - любой может прочитать все общедоступные файлы / proc / PID / *.
hidepid = 1 означает, что пользователи могут иметь доступ не к каким-либо каталогам / proc //, а к своим. Чувствительные файлы, такие как cmdline, sched *, status теперь защищены от других пользователей. Поскольку проверка полномочий, выполняемая в proc_pid_permission (), и права доступа к файлам остаются нетронутыми, программы, ожидающие определенные режимы файлов, не путаются.
hidepid = 2 означает, что hidepid = 1 плюс все / proc / PID / будут невидимы для других пользователей. Это не означает, что он скрывает, существует ли процесс (его можно узнать другими способами, например, kill -0 $ PID), но он скрывает euid и egid процесса. Это усложняет задачу злоумышленника по сбору информации о запущенных процессах, о том, работает ли какой-либо демон с повышенными привилегиями, выполняет ли какой-либо другой пользователь какую-либо чувствительную программу, запускают ли другие пользователи какую-либо программу вообще и т. Д.
gid = XXX определяет группу, которая сможет собирать информацию обо всех процессах (как в режиме hidepid = 0). Эту группу следует использовать вместо помещения пользователя root в файл sudoers или что-то в этом роде. Однако недоверенные пользователи (например, демоны и т. Д.), Которые не должны следить за задачами во всей системе, не должны добавляться в группу.
Вы не можете контролировать видимость на уровне процессов, однако вы можете гарантировать, что ваши пользователи смогут видеть только свои процессы.