グループに基づいて他のユーザーからプロセスを非表示にしますか(Linuxの場合)?


8

Linuxシステムで特定のユーザーグループのプロセス非表示を構成することはできますか?

例:グループXのユーザーは、ps / topまたは/ procの下のグループYのユーザーが所有するプロセスを表示できません。

SELinuxでこのような設定を構成することは可能ですか?

(私はおかしなgrsecurityパッチセットの同様の機能を漠然と覚えていますが、IIRCの方が一般的でした。さらに、カスタムカーネルを維持する必要なく、標準のLinuxディストリビューションを構成したいと思っています。)

編集:よりわかりやすくするために、Solaris 10にも同様の機能があります。この例はそれほど一般的ではありませんが、ユーザーまたは一部のユーザーがpsなどで自分のプロセスの情報のみを表示できるように構成できます。


1
わかりませんが、SELinux情報の最良のソースは、おそらく本(amazon link)SELinux by Example:Using Security Enhanced Linux
xenoterracideである

Grsecurityは、root以外の単一ユーザーに対してこれを行います。
ストリビカ

より多くの答えと同様の質問:unix.stackexchange.com/questions/17164/...
jofel

回答:


4

実際、SELinux そのよう設定を許可しているようです:

最初のハウツーから:

今回は、プロセスが属しているドメインに関係なく、システム上のすべてのプロセスが表示されます。sysadm_tドメインでは、user_tドメインにはない他のドメインにアクセスできます。

2番目のHowtoから:

3行目では、staff_tがpsを実行して、非特権ユーザードメインのプロセスを確認できるようにします。staff_tはpsを実行し、user_tと他のユーザードメインのすべてを確認できますが、user_tはできません。


-1

ルートキットがなければ、またはカーネルをハッキングしてその動作を明確に許可しない限り、事前にパッケージ化されたオプションはありません。

これらがアクセス可能なコードから起動されたプロセスである場合、プログラムに渡されたargv [0]引数を変更しながら再コンパイルできる可能性があります。これにより、名前が無害な名前に効果的に変更され、topまたはpsなどをチェックする人から名前が「非表示」になります。


実際には、事前にパッケージ化されたオプションがあります...;)詳細については私の回答を参照してください...
maxschlepzig

@maxschlepzig、それらにリンクしてくれてありがとう。私は今まで知らなかった。
シャムスター
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.