Nascondere i processi da altri utenti in base ai gruppi (sotto Linux)?


8

È possibile configurare il processo nascosto per determinati gruppi di utenti in un sistema Linux?

Ad esempio: gli utenti del gruppo X non dovrebbero vedere i processi di proprietà degli utenti del gruppo Y in ps / top o in / proc.

È possibile configurare una tale configurazione con SELinux?

(Ricordo vagamente una funzione simile nel divertente set di patch grsecurity - ma IIRC, era più generico - e inoltre, voglio configurare una distribuzione Linux di serie senza dover mantenere un kernel personalizzato.)

Modifica: per una migliore illustrazione, Solaris 10 ha una funzione simile . L'esempio non è generico, ma si può configurare che un utente o alcuni utenti possano vedere solo informazioni sui propri processi in ps ecc.


1
Non lo so, ma la migliore fonte di informazioni su SELinux è probabilmente il libro (link amazon) SELinux con l'esempio: usare Security Enhanced Linux
xenoterracide,

Grsecurity lo fa per singoli utenti tranne root.
stribika,

Domanda simile con più risposte: unix.stackexchange.com/questions/17164/…
jofel

Risposte:


4

In realtà, SELinux sembra consentire tali configurazioni :

Dal primo Howto :

Questa volta, vedrai tutti i processi sul sistema indipendentemente dal dominio in cui si trovano. Quando sei nel dominio sysadm_t, hai accesso ad altri domini che il dominio user_t non ha.

Dal secondo Howto :

La terza riga consente a staff_t di eseguire ps e vedere i processi nei domini utente non privilegiati. staff_t è in grado di eseguire ps e vedere qualsiasi cosa in user_t e altri domini utente, se presenti, mentre user_t non può.


-1

Senza un rootkit o senza hackerare il kernel per consentire specificamente quel comportamento, non ci sono opzioni preconfezionate.

Se si tratta di processi avviati dal codice a cui hai accesso, potresti essere in grado di ricompilarlo mentre modifica l'argomento argv [0] passato nel programma. Questo potrebbe effettivamente cambiare il nome in qualcosa di benigno e quindi "nasconderlo" da chiunque controlli top o ps, ecc.


in realtà, ci sono opzioni preconfezionate ...;) Vedi la mia risposta per i dettagli ...
maxschlepzig

@maxschlepzig, grazie per il collegamento a quelli. Non ne avevo idea.
Shamster,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.