Questa interessante funzionalità permetterà agli amministratori di sistema di impedire o meno a dei processi di leggere o modificare la memoria utilizzata da altri processi, anche quelli dell’utente. Questo tipo di funzioni sono chiamate ptrace o sys_ptrace e talvolta sono utilizzate anche da strumenti come gdb (GNU Debugger).
Come scritto dallo sviluppatore RedHat creatore di questa nuova funzione, Dan Walsh, l’obbiettivo è quello di impedire questo tipo di processo agli utenti non confinati (unconfined_t user) che non hanno necessità di avere disponibile i ptrace, così da ottenere un ulteriore miglioramento delle difese del proprio sistema.
Il comando
sesearch -A -p ptrace,sys_ptrace -C | grep -v deny_ptrace
elenca i processi ptrace permessi in tutti i domini. Solo a partire da Fedora 17 Beefy Miracle non si avrà nulla elencato laddove il boolean deny_ptrace è attivato; infatti è disponibile con i kernel =>3.3*.
Processi come gnome-keyring, ssh o Firefox che decriptano dei file criptati avrebbero la password in memoria, esposta alla possibilità di essere rintracciata da processi corrotti alla quale hanno accesso.
La protezione si abilita permanentemente con il comando
# setsebool -P deny_ptrace 1
In occasione il signor Walsh ha anche creato un video dimostrativo
