настройка ps и безопасность

а, забыл сказать. дистриб убунту.

что-то ничего приличного не приходит в голову, но я в этих ваших линуксах не силен.

если надо ограничить только ps, можно конечно заменить его любым удобным способом на его же запускалку, которая предварительно делает grep -v $USERNAME. но это нихера не секурно, ибо обходиться на раз-два.

ты мне вот скажи, зачем оно тебе надо? какую конкретно цель ты преследуешь? тогда может что-то получше посоветуют

Раньше юзали ядерные патчи типа grsecure, можно ли это провернуть при помощи SElinux, не знаю, скорее всего можно.

Можно засунуть каждого юзера в свой контейнер (LXC или OpenVZ). Правда, там еще служебные процессы будут, но других реальных юзеров все-таки не видно.

Или просто на фряху перейти, если данный пунктик так беспокоит :)

Или просто на фряху перейти

А там шито такое есть? По джейлами чтоли всех рассовывать или есть кошерный способ? У меня просто айзен заигнорен и я не в курсе последних новостей.

у меня есть решение в виде LKM, но оно для OBSD, как там в линуксах, я не знаю

>ты мне вот скажи, зачем оно тебе надо?

ну, в процессах видны всякие вещи такие, которые не очень хочется показывать. например, пути к конфигам. типа mysql --defaults-file=что-то-там. ну это для примера. обычно все это запихивается куда-то в директорию, ставится ей o=x, и никто там ниче не видит. а конфиг прямой путь в поддиректории открывает

>А там шито такое есть? По джейлами чтоли всех рассовывать или есть кошерный способ?

Там есть кошерный способ:
sysctl security.bsd.see_other_uids=0
sysctl security.bsd.see_other_gids=0

всё равно можно будет обойти. это нужно не в ps закрывать, а на уровне ядреных вызовов.

Лорчую контейнеры.
Это из быстрых способов.
А если есть время, стоит разобраться с selinux.

спасибо

О, спасибо, я о таком и не знал.