Спрятать или замаскировать процесс

zabbix такое умеет

Мне нужен именно этот скрипт. Zabbix мне не подходит.

Если нужен не сам скрипт, а именно мониторинг за ФС, и чтоб пользователи не знали, что именно мониторится - auditd

И так же можно переделать скрипт, чтобы читал конфиг из файла. В ps будет сам скрипт, но не информация о наблюдаемых объектах.

Если ты админ, этого достаточно (можно переименовать скрипт и закосить под системные демоны). Если крякер - думай сам

Не пойму как сделать чтоб он читал конфиг из файла. То что я думал, не то, все равно видно в ps.

перепиши ps/top/htop?

google://rootkit

скорее всего нужно настроить мандатный контроль доступа и запретить видеть пользователям то, что они видеть не должны. А пытаться следить за всеми у кого есть права рута, это как-то странно... может не давать права рута тому, кому не доверяешь?

>он виден в ps, top и htop

Дык запрети запускать ps, top и htop юзверям, делов то, опять в етсаде ДОД

зачем прятать процесс от пользователя?
так делают руткиты, можете сами и посмотреть как они это прячут процессы из вывода ps,top, /proc

Хочется знать какие файлы редактировались

Тебе нужны [D]VCS - SVN или GIT.

А еще посмотри в сторону selinux.
Я правильно понял, что у тебя возникла ситуация, когда на сервере несколько пользователей имеют рутовые права?
В любом случае, похоже что ты неправильно ставишь задачу и городишь костыли.

они зальют бинарь и продолжат смотреть :)

Дело не в доверии или не доверии к пользователям. Есть разные случаи когда нужно знать что менялось или редактировалось на сервере. Не имеет значения это пользователь легитимный или нет. Спрятать зачем? Ну к примеру если сервер был взломан. Я думаю посторонний обязательно посмотрит на список процессов и увидит то, что должно помочь в раскрытии его присутствия. В общем есть много вариантов зачем это может понадобиться.

Кажется, вы изобретаете уже изобретенное ?)
http://fileschanged.sourceforge.net/
used:
#apt-get install fileschanged gamin

$fileschanged --help

лучше уже тогда http://inotify.aiken.cz/?section=incron&page=about&lang=en

чем ?

тем, что не тянет fam/gamin
и работает через inotify

в перечисленном случае помогает вариант хранения логов на другой машине

Кстати cisco IOS например так делает.
Она сбрасывает логи на syslog сервер ( port 514 udp )

Syslog сервер конечно же нужно поднять на другой машине в локальной сети.
Да и не только ios а любую систему где есть syslog можно так настроить.

Во FreeBSD это можно через:

# sysctl security.bsd.see_other_uids=0

А fam/gamin все одно используется в Gnome.

У тебя на сервере гном?

ожидаемо )
а найди слово «сервер» в исходном посте ? ))

особенно если хомяк смонтирован с noexec, да.

Народ!!! Вы читали мой вопрос? Не нужно ничего отправлять. Просто от любых глаз нужно было спрятать процесс и все!

Это не канает без переписывания top/ps/whatever или применения ядерных патчей (процессы одного пользователя не видны другим).

</thread>

P.S.: тут выше ещё говорилось о руткитах — самый простой вариант, наверно.

Да, а руткиты пишут на С обычно.
На мякине не проведете, linux еще не настолько дыряв.)

Ubuntu 10.10, ни fam, ни gamin не установлены по умолчанию.

http://git.gnome.org/browse/glib/tree/gio/inotify

у меня удаление libfam0 норовит снести половину гнома ,
посмотри у себя на вывод:
$apt-rdepends -r libfam0

нет, я всё-таки подло вру, gamin как раз установлен.
но gam_server не запущен.

в gentoo обходился вообще без них.

В исходном, может, и нет, в вот в этом есть.

Ну как вариант уже , да.
Хотя, проще обеспечивать внешную безопастность сервера чем внутренних его процессов после взлома , так как появляется много «если» и «но».