Скрыть процессы от других пользователей на основе групп (под Linux)?

Можно ли настроить скрытие процессов для определенных групп пользователей в Linux-системе?

Например: Пользователи из группы X не должны видеть процессы, принадлежащие пользователям из группы Y в ps / top или под / proc.

Можно ли настроить такую ​​настройку с помощью SELinux?

(Я смутно помню аналогичную функцию в забавном наборе патчей grsecurity, но IIRC, он был более общим – и, кроме того, я хочу настроить дистрибутив linux для Linux, не требуя поддержки собственного ядра.)

Изменить: для лучшей иллюстрации Solaris 10 имеет аналогичную функцию . Пример не такой общий, но можно настроить, что пользователь или некоторые пользователи могут видеть информацию только о своих процессах в ps и т. Д.

2 Solutions collect form web for “Скрыть процессы от других пользователей на основе групп (под Linux)?”

Фактически SELinux, похоже, допускает такие конфигурации :

С первого Howto :

На этот раз вы увидите все процессы в системе, независимо от того, в каком домене они находятся. В домене sysadm_t у вас есть доступ к другим доменам, которых нет в домене user_t.

Со второго Howto :

Третья строка позволяет staff_t запускать ps и просматривать процессы в непривилегированных доменах пользователя. staff_t может запускать ps и видеть все в user_t и других пользовательских доменах, если они есть, тогда как user_t не может.

Без руткита или без взлома ядра, чтобы специально разрешить такое поведение, нет никаких предварительно упакованных опций.

Если это процессы, запущенные из кода, к которому у вас есть доступ, вы можете перекомпилировать его, изменяя аргумент argv [0], переданный в программу. Это может эффективно изменить имя на что-то доброкачественное и, таким образом, «скрыть» его от кого-либо, кто проверяет верхушку или ps и т. Д.

  • Как получить доступ к только читаемым в мире файлам в изолированной программной среде SElinux
  • SELinux запретил доступ
  • Домены безопасности SELlinux
  • Selinux блокирует clamd для открытия новых портов для каждого потока
  • Разрешение отказа 2ban отказано в скрипте
  • Какие роли выполняют DAC (разрешения файлов), ACL и MAC (SELinux) в защите файлов Linux?
  • Где поставить политику SElinux, чтобы обеспечить прекрасное завершение работы системы?
  • как удалить ярлык SELinux?
  • root может войти только в режиме ограничения доступа
  • Почему audit2why нечего делать?
  • Не удалось вывести SystemD на Hardened / SELinux
  • Linux и Unix - лучшая ОС в мире.