Ẩn các quy trình từ người dùng khác dựa trên các nhóm (trong Linux)?


8

Có thể định cấu hình ẩn quy trình cho các nhóm người dùng nhất định trong hệ thống linux không?

Ví dụ: Người dùng từ nhóm X không được thấy các quy trình thuộc sở hữu của người dùng từ nhóm Y trong ps / top hoặc dưới / Proc.

Có thể định cấu hình thiết lập như vậy với SELinux không?

.

Chỉnh sửa: Để minh họa tốt hơn, Solaris 10 có một tính năng tương tự . Ví dụ này không phải là chung chung, nhưng người ta có thể cấu hình rằng người dùng hoặc một số người dùng chỉ có thể xem thông tin về các quy trình của riêng họ trong ps, v.v.


1
Tôi không biết nhưng nguồn thông tin tốt nhất của Selinux có lẽ là cuốn sách (liên kết amazon) SELinux theo ví dụ: Sử dụng Linux được tăng cường bảo mật
xenoterracide

Grsecurity thực hiện điều này cho người dùng đơn lẻ trừ root.
stribika

Câu hỏi tương tự với nhiều câu trả lời hơn: unix.stackexchange.com/questions/17164/ trên
jofel 15/03/2016

Câu trả lời:


4

Trên thực tế, SELinux dường như cho phép các cấu hình như vậy :

Từ đầu tiên Howto :

Lần này, bạn sẽ thấy tất cả các quy trình trên hệ thống bất kể tên miền của chúng là gì. Khi ở trong miền sysadm_t, bạn có quyền truy cập vào các tên miền khác mà tên miền user_t không có.

Từ Howto thứ hai :

Dòng thứ ba cho phép staff_t chạy ps và xem các quy trình trong các miền người dùng không được ưu tiên. staff_t có thể chạy ps và xem mọi thứ trong user_t và các miền người dùng khác nếu có, trong khi user_t không thể.


-1

Không có rootkit hoặc không hack kernel để cho phép hành vi đó một cách cụ thể, không có bất kỳ tùy chọn đóng gói sẵn nào.

Nếu đây là các quy trình được khởi chạy từ mã mà bạn có quyền truy cập thì bạn có thể biên dịch lại mã đó trong khi thay đổi đối số argv [0] được truyền vào chương trình. Điều này có hiệu quả có thể thay đổi tên thành một cái gì đó lành tính và do đó "ẩn" nó khỏi bất cứ ai kiểm tra top hoặc ps, v.v.


thực tế, có các tùy chọn đóng gói sẵn ...;) Xem câu trả lời của tôi để biết chi tiết ...
maxschlepzig

@maxschlepzig, cảm ơn vì đã liên kết với những người đó. Tôi không ý kiến.
Shamster
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.