Ist es möglich, das Ausblenden von Prozessen für bestimmte Benutzergruppen unter einem Linux-System zu konfigurieren?
Beispiel: Benutzer aus Gruppe X sollten keine Prozesse sehen, deren Eigentümer Benutzer aus Gruppe Y in ps / top oder unter / proc sind.
Ist es möglich, ein solches Setup mit SELinux zu konfigurieren?
(Ich erinnere mich vage an eine ähnliche Funktion im lustigen Grsecurity-Patch-Set - aber IIRC war allgemeiner - und außerdem möchte ich eine Standard-Linux-Distribution konfigurieren, ohne einen benutzerdefinierten Kernel warten zu müssen.)
Bearbeiten: Zur besseren Veranschaulichung verfügt Solaris 10 über eine ähnliche Funktion . Das Beispiel ist nicht so allgemein, aber man kann konfigurieren, dass ein Benutzer oder einige Benutzer nur Informationen über ihre eigenen Prozesse in ps usw. sehen können.
Antworten:
Tatsächlich scheint SELinux solche Konfigurationen zuzulassen :
Vom ersten Howto :
Aus dem zweiten Howto :
quelle
Ohne ein Rootkit oder ohne das Hacken des Kernels, um dieses Verhalten spezifisch zuzulassen, gibt es keine vorgefertigten Optionen.
Wenn es sich um Prozesse handelt, die über Code gestartet wurden, auf den Sie Zugriff haben, können Sie ihn möglicherweise neu kompilieren, während Sie das an das Programm übergebene Argument argv [0] ändern. Dies könnte den Namen effektiv in etwas Gutartiges ändern und ihn somit vor jedem "verstecken", der oben oder ps usw. prüft.
quelle