Ocultar processos de outros usuários com base em grupos (no Linux)?

É possível configurar a ocultação de processos para determinados grupos de usuários em um sistema Linux?

Por exemplo: Usuários do grupo X não devem ver processos pertencentes a usuários do grupo Y em ps / top ou em / proc.

É possível configurar essa configuração com o SELinux?

(Lembro-me vagamente de um recurso semelhante no engraçado conjunto de patches grsecurity - mas o IIRC, era mais genérico - e além disso, quero configurar uma distribuição Linux padrão sem precisar manter um kernel personalizado.)

Editar: para uma melhor ilustração, o Solaris 10 tem um recurso semelhante . O exemplo não é tão genérico, mas é possível configurar que um usuário ou alguns usuários possam ver apenas informações de seus próprios processos no ps etc.

Na verdade, o SELinux parece permitir essas configurações :

Desde o primeiro Howto :

Desta vez, você verá todos os processos no sistema, independentemente do domínio em que se encontra. Quando no domínio sysadm_t, você tem acesso a outros domínios que o domínio user_t não possui.

Do segundo Howto :

A terceira linha permite que o staff_t execute ps e veja processos nos domínios de usuário não privilegiados. staff_t é capaz de executar ps e ver tudo no user_t e em outros domínios do usuário, se houver, enquanto o user_t não pode.

Sem um rootkit ou sem hackear o kernel para permitir especificamente esse comportamento, não há opções pré-empacotadas.

Se forem processos iniciados a partir do código ao qual você tem acesso, poderá recompilar enquanto altera o argumento argv [0] passado no programa. Isso poderia efetivamente alterar o nome para algo benigno e, assim, "ocultá-lo" de qualquer pessoa que verifique top ou ps, etc.