web-dev-qa-db-ja.com

グループに基づいて他のユーザーからプロセスを非表示にしますか(Linuxの場合)?

Linuxシステムで特定のユーザーグループのプロセス非表示を構成することは可能ですか?

例:グループXのユーザーは、グループYのユーザーが所有するプロセスをps/topまたは/ procの下に表示しないでください。

SELinuxでそのようなセットアップを構成することは可能ですか?

(面白いgrsecurityパッチセットの同様の機能を漠然と覚えていますが、IIRCはもっと一般的でした。さらに、カスタムカーネルを維持せずにストックLinuxディストリビューションを構成したいと思います。)

編集:わかりやすくするために、 Solaris 10にも同様の機能があります 。この例はそれほど一般的ではありませんが、ユーザーまたは一部のユーザーがpsなどで自分のプロセスの情報のみを表示できるように構成できます。

8
maxschlepzig

実際、SELinux 許可しているようです そのような 構成

最初から ハウツー

今回は、所属するドメインに関係なく、システム上のすべてのプロセスが表示されます。sysadm_tドメインでは、user_tドメインではアクセスできない他のドメインにアクセスできます。

2番目から ハウツー

3行目では、staff_tがpsを実行し、非特権ユーザードメインのプロセスを確認できます。 Staff_tはpsを実行し、user_tおよび他のユーザードメイン(存在する場合)のすべてを表示できますが、user_tはできません。

4
maxschlepzig