Nascondere i processi da altri utenti in base ai gruppi (sotto Linux)?

È possibile configurare il processo nascosto per determinati gruppi di utenti in un sistema Linux?

Ad esempio: gli utenti del gruppo X non dovrebbero vedere i processi di proprietà degli utenti del gruppo Y in ps / top o in / proc.

È possibile configurare una tale configurazione con SELinux?

(Ricordo vagamente una funzione simile nel divertente set di patch grsecurity - ma IIRC, era più generico - e inoltre, voglio configurare una distribuzione Linux di serie senza dover mantenere un kernel personalizzato.)

Modifica: per una migliore illustrazione, Solaris 10 ha una funzione simile . L'esempio non è generico, ma si può configurare che un utente o alcuni utenti possano vedere solo informazioni sui propri processi in ps ecc.

In realtà, SELinux sembra consentire tali configurazioni :

Dal primo Howto :

Questa volta, vedrai tutti i processi sul sistema indipendentemente dal dominio in cui si trovano. Quando sei nel dominio sysadm_t, hai accesso ad altri domini che il dominio user_t non ha.

Dal secondo Howto :

La terza riga consente a staff_t di eseguire ps e vedere i processi nei domini utente non privilegiati. staff_t è in grado di eseguire ps e vedere qualsiasi cosa in user_t e altri domini utente, se presenti, mentre user_t non può.

Senza un rootkit o senza hackerare il kernel per consentire specificamente quel comportamento, non ci sono opzioni preconfezionate.

Se si tratta di processi avviati dal codice a cui hai accesso, potresti essere in grado di ricompilarlo mentre modifica l'argomento argv [0] passato nel programma. Questo potrebbe effettivamente cambiare il nome in qualcosa di benigno e quindi "nasconderlo" da chiunque controlli top o ps, ecc.