Sembunyikan proses dari pengguna lain berdasarkan grup (di Linux)?

8

Apakah mungkin untuk mengkonfigurasi proses persembunyian untuk grup pengguna tertentu di bawah sistem linux?

Misalnya: Pengguna dari grup X seharusnya tidak melihat proses yang dimiliki oleh pengguna dari grup Y di ps / atas atau di bawah / proc.

Apakah mungkin untuk mengkonfigurasi pengaturan seperti itu dengan SELinux?

(Saya samar-samar ingat fitur serupa pada set patch grsecurity yang lucu - tapi IIRC, itu lebih umum - dan selain itu, saya ingin mengkonfigurasi distro linux saham tanpa harus memelihara kernel kustom.)

Sunting: Untuk ilustrasi yang lebih baik, Solaris 10 memiliki fitur serupa . Contohnya bukan generik, tetapi orang dapat mengkonfigurasi bahwa pengguna atau beberapa pengguna hanya dapat melihat informasi dari proses mereka sendiri di ps dll.

maxschlepzig
sumber
1
Saya tidak tahu, tetapi sumber informasi SELinux terbaik mungkin adalah buku (tautan amazon) SELinux dengan Contoh: Menggunakan Keamanan Enhanced Linux
xenoterracide
Grsecurity melakukan ini untuk pengguna tunggal kecuali root.
stribika
Pertanyaan serupa dengan lebih banyak jawaban: unix.stackexchange.com/questions/17164/…
jofel

Jawaban:

4

Sebenarnya, SELinux tampaknya memungkinkan konfigurasi seperti ini :

Dari Howto pertama :

Kali ini, Anda akan melihat semua proses pada sistem terlepas dari domain tempat mereka berada. Saat berada di domain sysadm_t, Anda memiliki akses ke domain lain yang tidak dimiliki domain user_t.

Dari Howto kedua :

Baris ketiga memungkinkan staff_t untuk menjalankan ps dan melihat proses dalam domain pengguna yang tidak memiliki hak. staff_t dapat menjalankan ps dan melihat semuanya di user_t dan domain pengguna lain jika ada, sedangkan user_t tidak bisa.

maxschlepzig
sumber
-1

Tanpa rootkit, atau tanpa meretas kernel untuk secara khusus mengizinkan perilaku itu, tidak ada opsi pra-paket.

Jika ini adalah proses yang diluncurkan dari kode yang dapat Anda akses, maka Anda mungkin dapat mengkompilasi ulang sambil mengubah argumen argv [0] yang diteruskan ke program. Ini secara efektif dapat mengubah nama menjadi sesuatu yang jinak dan dengan demikian "menyembunyikannya" dari siapa pun yang memeriksa top atau ps, dll.

Shamster
sumber
sebenarnya, ada opsi pra-paket ...;) Lihat jawaban saya untuk detail ...
maxschlepzig
@maxschlepzig, terima kasih telah menautkannya. Saya tidak tahu.
Shamster