Intereting Posts
Получение пустых данных при чтении текстового файла и отправка данных чтения в url cURL в linux Как навсегда отключить клавиатуру ноутбука в linux mint? Почему и как выполняются некоторые общие библиотеки, как если бы они исполнялись? Как получить последний файл из списка файлов в определенном каталоге Безопасно ли удалить файл quota.user? Возможно ли сделать переменную внутри вложенной для петлевого локального pbuilder, есть ли способ создавать и хранить файлы журналов с удобочитаемыми временными метками Добавление разрывов IPv6 StackExchange Вывод строки в нижнем правом углу терминала Почему лучше использовать 64-битную ОС? Как включить прокрутку и нажатие сенсорной панели в Debian Wheezy KDE? Проблемы с GPG при выпуске с Leiningen Получите более 2 ГБ ограничений на создание PDF-файлов с помощью ImageMagick В чем разница между / bin и ~ / bin? Вызывать git без загрузки пользователя gitconfig

Скрыть процессы от других пользователей на основе групп (под Linux)?

Можно ли настроить скрытие процессов для определенных групп пользователей в Linux-системе?

Например: Пользователи из группы X не должны видеть процессы, принадлежащие пользователям из группы Y в ps / top или под / proc.

Можно ли настроить такую ​​настройку с помощью SELinux?

(Я смутно помню аналогичную функцию в забавном наборе патчей grsecurity, но IIRC, он был более общим – и, кроме того, я хочу настроить дистрибутив linux для Linux, не требуя поддержки собственного ядра.)

Изменить: для лучшей иллюстрации Solaris 10 имеет аналогичную функцию . Пример не такой общий, но можно настроить, что пользователь или некоторые пользователи могут видеть информацию только о своих процессах в ps и т. Д.

Фактически SELinux, похоже, допускает такие конфигурации :

С первого Howto :

На этот раз вы увидите все процессы в системе, независимо от того, в каком домене они находятся. В домене sysadm_t у вас есть доступ к другим доменам, которых нет в домене user_t.

Со второго Howto :

Третья строка позволяет staff_t запускать ps и просматривать процессы в непривилегированных доменах пользователя. staff_t может запускать ps и видеть все в user_t и других пользовательских доменах, если они есть, тогда как user_t не может.

Без руткита или без взлома ядра, чтобы специально разрешить такое поведение, нет никаких предварительно упакованных опций.

Если это процессы, запущенные из кода, к которому у вас есть доступ, вы можете перекомпилировать его, изменяя аргумент argv [0], переданный в программу. Это может эффективно изменить имя на что-то доброкачественное и, таким образом, «скрыть» его от кого-либо, кто проверяет верхушку или ps и т. Д.