¿Ocultar procesos de otros usuarios basados ​​en grupos (bajo Linux)?

8

¿Es posible configurar el ocultamiento del proceso para ciertos grupos de usuarios en un sistema Linux?

Por ejemplo: los usuarios del grupo X no deberían ver los procesos propiedad de los usuarios del grupo Y en ps / top o under / proc.

¿Es posible configurar tal configuración con SELinux?

(Recuerdo vagamente una característica similar en el divertido conjunto de parches de seguridad, pero IIRC, era más genérico, y además, quiero configurar una distribución de Linux de stock sin tener que mantener un núcleo personalizado).

Editar: para una mejor ilustración, Solaris 10 tiene una función similar . El ejemplo no es tan genérico, pero uno puede configurar que un usuario o algunos usuarios solo puedan ver información de sus propios procesos en ps, etc.

maxschlepzig
fuente
1
No lo sé, pero la mejor fuente de información de SELinux es probablemente el libro (enlace de Amazon) SELinux por ejemplo: Uso de Linux mejorado de seguridad
xenoterracide
Grsecurity hace esto para usuarios individuales, excepto root.
Stribika
Pregunta similar con más respuestas: unix.stackexchange.com/questions/17164/…
jofel

Respuestas:

4

En realidad, SELinux parece permitir tales configuraciones :

Del primer Howto :

Esta vez, verá todos los procesos en el sistema, independientemente del dominio en el que se encuentren. Cuando esté en el dominio sysadm_t, tendrá acceso a otros dominios que el dominio user_t no tiene.

Del segundo Howto :

La tercera línea permite que staff_t ejecute ps y vea procesos en los dominios de usuario sin privilegios. staff_t puede ejecutar ps y ver todo en user_t y otros dominios de usuario, si los hay, mientras que user_t no puede.

maxschlepzig
fuente
-1

Sin un rootkit, o sin piratear el kernel para permitir específicamente ese comportamiento, no hay opciones preempaquetadas.

Si se trata de procesos iniciados desde el código al que tiene acceso, puede volver a compilarlo mientras altera el argumento argv [0] pasado al programa. Esto podría cambiar efectivamente el nombre a algo benigno y, por lo tanto, "ocultarlo" a cualquiera que esté marcando top o ps, etc.

Shamster
fuente
Opciones en realidad, no están preenvasados, ...;) Ver mi respuesta para más detalles ...
maxschlepzig
@maxschlepzig, gracias por vincularlos. No tenía ni idea.
Shamster