グループ(Linux上)に基づいて他のユーザーにプロセスを非表示にしますか?

tag-icon tag-icon security process selinux grsecurity hardening
グループ(Linux上)に基づいて他のユーザーにプロセスを非表示にしますか?

Linuxシステムで特定のユーザーグループの設定プロセスを隠すことはできますか?

例:グループXのユーザーは、ps / topまたは/ procでグループYのユーザーが所有するプロセスを表示できません。

SELinuxを使用してこれらの設定を構成できますか?

(似たような機能を持つ興味深いgrsecurityパッチセットは不明瞭に覚えていますが、IIRCはより一般的であり、カスタムカーネルを維持する必要なしにネイティブLinuxディストリビューションを構成したいと思いました。)

編集する:よりよく説明すると、Solaris 10にも同様の機能があります。この例はあまり一般的ではありませんが、psなどで自分のプロセスに関する情報のみを表示できるように、ユーザーまたは特定のユーザーを構成することが可能です。

ベストアンサー1

実際、SELinuxは許可されるようですそんな構成:

最初からどのように:

今回は、そのプロセスが存在するドメインに関係なく、システム内のすべてのプロセスを表示できます。 sysadm_tドメインにいる間、user_tドメインはアクセスできない他のドメインにアクセスできます。

2番目から始めましょうどのように:

3行目では、Staff_tが権限のないユーザードメインでpsを実行してプロセスを表示できるようにします。 Staff_tはpsを実行し、user_tおよび他のユーザードメイン(存在する場合)のすべてのコンテンツを表示できますが、user_tはそうではありません。

おすすめ記事