Скрыть процессы от других пользователей на основе групп (под Linux)?

Можно ли настроить скрытие процессов для определенных групп пользователей в системе Linux?

Например: пользователи из группы X не должны видеть процессы, принадлежащие пользователям из группы Y, в ps / top или в / proc.

Можно ли настроить такую ​​настройку с помощью SELinux?

(Я смутно помню похожую особенность в забавном наборе патчей grsecurity - но IIRC, он был более универсальным - и кроме того, я хочу настроить стандартный дистрибутив linux без поддержки собственного ядра.)

Изменить: для лучшей иллюстрации, Solaris 10 имеет аналогичную функцию . Пример не настолько общий, но можно настроить, чтобы пользователь или некоторые пользователи могли видеть информацию о своих собственных процессах только в ps и т. Д.

На самом деле, SELinux разрешает такие конфигурации :

Из первого Howto :

На этот раз вы увидите все процессы в системе, независимо от того, в каком домене они находятся. В домене sysadm_t у вас есть доступ к другим доменам, которых нет у домена user_t.

Со второго Howto :

Третья строка позволяет staff_t запускать ps и видеть процессы в непривилегированных пользовательских доменах. staff_t может запускать ps и видеть все в user_t и других пользовательских доменах, если таковые имеются, тогда как user_t не может.

Без руткита или без взлома ядра, чтобы специально разрешить такое поведение, нет никаких предварительно упакованных опций.

Если это процессы, запускаемые из кода, к которому у вас есть доступ, вы можете перекомпилировать его, изменяя аргумент argv [0], передаваемый в программу. Это может эффективно изменить имя на что-то мягкое и, таким образом, «скрыть» его от любого, кто проверяет top или ps и т. Д.