Masquer les processus des autres utilisateurs en fonction des groupes (sous Linux)?


8

Est-il possible de configurer le masquage de processus pour certains groupes d'utilisateurs sous un système Linux?

Par exemple: les utilisateurs du groupe X ne devraient pas voir les processus appartenant aux utilisateurs du groupe Y dans ps / top ou sous / proc.

Est-il possible de configurer une telle configuration avec SELinux?

(Je me souviens vaguement d'une fonctionnalité similaire dans l'ensemble de correctifs grsecurity - mais IIRC, il était plus générique - et en plus, je veux configurer une distribution linux stock sans avoir à maintenir un noyau personnalisé.)

Modifier: pour une meilleure illustration, Solaris 10 a une fonction similaire . L'exemple n'est pas générique, mais on peut configurer qu'un utilisateur ou certains utilisateurs ne peuvent voir que les informations de leurs propres processus dans ps etc.


1
Je ne sais pas, mais la meilleure source d'informations sur SELinux est probablement le livre (lien amazon) SELinux par exemple: Utilisation de Security Enhanced Linux
xenoterracide

Grsecurity le fait pour les utilisateurs uniques sauf root.
stribika

Question similaire avec plus de réponses: unix.stackexchange.com/questions/17164/…
jofel

Réponses:


4

En fait, SELinux semble autoriser de telles configurations :

Du premier Howto :

Cette fois, vous verrez tous les processus sur le système, quel que soit le domaine dans lequel ils se trouvent. Lorsque vous êtes dans le domaine sysadm_t, vous avez accès à d'autres domaines que le domaine user_t n'a pas.

Du deuxième Howto :

La troisième ligne permet à staff_t d'exécuter ps et de voir les processus dans les domaines utilisateur non privilégiés. staff_t est capable d'exécuter ps et de tout voir dans user_t et les autres domaines utilisateur le cas échéant, contrairement à user_t.


-1

Sans rootkit, ou sans pirater le noyau pour autoriser spécifiquement ce comportement, il n'y a pas d'options pré-packagées.

S'il s'agit de processus lancés à partir de code auquel vous avez accès, vous pourrez peut-être le recompiler tout en modifiant l'argument argv [0] transmis au programme. Cela pourrait effectivement changer le nom en quelque chose de bénin et ainsi le "cacher" à quiconque vérifie top ou ps, etc.


en fait, il y a des options pré-emballées ...;) Voir ma réponse pour plus de détails ...
maxschlepzig

@maxschlepzig, merci pour le lien vers ceux-ci. Je n'en avais aucune idée.
Shamster
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.