<div dir="ltr">Previously I posted a patch to print during audit the proc/self/cmdline value.<div><br></div><div>Steve Grubb had some concerns, as he has seen this before of "lets fix this</div><div>once and for all, properly"</div>
<div><br></div><div>The major concerns (consolidated) were:</div><div>1. The value could be set by the process at runtime and therefore easily spoofed</div><div>2. The value could be too large (truncated at page level)</div>
<div>3. Performance concerns of copying a whole page from userspace on every record</div><div><br></div><div>Steve Grubb proposed adding some field in struct task and extending the prctl interface</div><div>for getter/setter.</div>
<div><br></div><div>My concern here, is the spoofing portion. Obviously this needs to be controlled by someone</div><div>other then the process to which this applies, right now the PR_SET_NAME would have the</div><div>same issue as cmdline, except be truncated to 16 bytes.</div>
<div><br></div><div>I don't see any capabilities or restrictions on existing prctl interfaces, outside of the MAC hook.</div><div><br clear="all"><div>Can anyone chime in and either tell me my concerns are over kill or what here?</div>
<div><br></div><div>I don't want to go coding down a bad path on this.</div><div><br></div>-- <br>Respectfully,<br><br>William C Roberts<br><br>
</div></div>