Ако не пише нищо, значи няма selinux, ако _всичките_ са unconfined, тогава е много странна работата. Принципно има два варианта - targeted или strict policy. При първия вариант, разните демони се confine-ват и си работят в техния си контекст с множеството им от позволени обекти, ресурси и операции там. Потребителските процеси (демек тези които си си напускал след login) се водят unconfined, ерго правомощията им са относително неограничени. Когато се ползва strict policy, тогава и потребителите се confine-ват, това е доста по-сигурен вариант от една страна, от друга страна евентуалните проблеми с това при една десктоп система са ужасно много - просто има прекалено много софтуер, за да може разработчиците на selinux модули да наваксат, ужасно много гранични положения, където да възникнат проблеми и ще бъде голяма драма за потребителите. Затова досега поне на мен не ми е известен случай, където десктоп дистрибуция да е прегърнала strict selinux policy.
Що се отнася до криенето и показването, понякога е доволно трудно да бъдат показвани скрити неща. Модифицира ли се ядрото, откриването на скрити процеси, файлове и т.н. става на практика невъзможно със стандартни средства и трябва да се ползва някакъв специално написан за целта софтуер. Няма значение как ще бъде "маскиран" процеса - той просто няма да се вижда - нито с top, нито с ps, нито с lsof, нито с каквото и да е подобно utility - за администратора, такъв процес няма. На практика, дори и да не се модифицира ядрото, криенето на процеси и файлове пак не е толкова сложно, тъй като почти всичкия инструментариум е динамично-свързан и злонемерените гадове да се възползват от това, за да overload-ват glibc функции.
Ако случайно ти е интересно - можеш да погледнеш следните (идиотски) експерименти по въпроса:
http://www.gat3way.eu/index.php?mact=News,cntnt01,detail,0&cntnt01articleid=34&cntnt01returnid=15http://www.gat3way.eu/index.php?mact=News,cntnt01,detail,0&cntnt01articleid=36&cntnt01returnid=15http://www.gat3way.eu/index.php?mact=News,cntnt01,detail,0&cntnt01articleid=38&cntnt01returnid=15Апропо, това са много стари и добре известни неща, в днешно време идеите са доразработени до още по-брутални сценарии: backdoor-ване чрез разни занимавки с x86 debug регистрите, което прави откриването почти невъзможно, backdoor-ване на SMM handler-а - което прави откриването _още_ по-невъзможно.
Та изводът от това е че човек просто не може да разчита напълно на такива неща. Може и да се напише такъв софтуер, който рови из procfs, ptrace-ва разни процеси и търси някакви характеристики на злонамерен софтуер. Това обаче няма да е гаранция, че на системата ти не се изпълнява злонамерен код. В уиндоус света е същата работа. Защо според теб няма антивирусен софтуер, който тотално да решава проблемите с malware-а? Защо постоянно трябва да се update-ват вирусни дефиниции? Защо нямат край тези дивотии с вирусите и антивирусните?