AppArmor 불평 모드와 같은 복잡한 도구를 사용하지 않고 특정 프로그램에서 어떤 파일에 액세스하는지 알려주는 쉬운 도구가 필요합니다.
답변
Chris Down에서는 이미 실행중인 프로세스 strace -p
를 검사하여 strace를 종료하거나 프로세스 자체가 완료 될 때까지 지금부터 어떤 파일을 여는 지 확인할 수 있습니다.
프로세스 의 전체 기간 동안 열린 파일을 보려면 처음부터 strace
실행 파일 이름과 함께 사용 하십시오. 추가 -f
하면 분기 하위 프로세스도보고됩니다. 예
# strace -e open -f /bin/id
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libselinux.so.1", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libpcre.so.1", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libdl.so.2", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libpthread.so.0", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/proc/thread-self/attr/current", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/proc/self/task/1581/attr/current", O_RDONLY|O_CLOEXEC) = 3
open("/usr/share/locale/locale.alias", O_RDONLY|O_CLOEXEC) = 3
open("/usr/share/locale/en_US.UTF-8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US.utf8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en.UTF-8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en.utf8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/etc/nsswitch.conf", O_RDONLY|O_CLOEXEC) = 3
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libnss_files.so.2", O_RDONLY|O_CLOEXEC) = 3
open("/etc/passwd", O_RDONLY|O_CLOEXEC) = 3
open("/etc/group", O_RDONLY|O_CLOEXEC) = 3
open("/etc/group", O_RDONLY|O_CLOEXEC) = 3
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
+++ exited with 0 +++
#
사용하여 lsof
프로세스를 파일을 확인하려면 현재 것은 열려있다
# lsof -p $(pidof NetworkManager)
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
NetworkMa 722 root cwd DIR 253,0 224 64 /
NetworkMa 722 root rtd DIR 253,0 224 64 /
NetworkMa 722 root txt REG 253,0 2618520 288243 /usr/sbin/NetworkManager
NetworkMa 722 root mem REG 253,0 27776 34560 /usr/lib64/libnss_dns-2.17.so
[...]
#
SystemTap이 있으면 열려있는 파일이 있는지 전체 호스트를 모니터링 할 수 있습니다.
[root@localhost tmp]# cat mon
#!/usr/bin/env stap
probe syscall.open { printf ("pid %d program %s opened %s\n", pid(), execname(), filename) }
# ./mon
pid 14813 program touch opened "/etc/ld.so.cache"
pid 14813 program touch opened "/lib64/libc.so.6"
pid 14813 program touch opened 0x7f7a8c6ec8d0
pid 14813 program touch opened "foo2"
[...]
#
답변
opensnoop
후드 아래에서 eBPF를 사용하는 BCC에서 사용할 수 있습니다 .
# ./opensnoop -p 1576
PID COMM FD ERR PATH
1576 snmpd 11 0 /proc/sys/net/ipv6/conf/lo/forwarding
1576 snmpd 11 0 /proc/sys/net/ipv6/neigh/lo/base_reachable_time_ms
1576 snmpd 9 0 /proc/diskstats
1576 snmpd 9 0 /proc/stat
1576 snmpd 9 0 /proc/vmstat
[...]
이것은 시스템 콜을 재시작하는 대신 kprobes를 사용하기 때문에 성능이 뛰어납니다 strace
.
또한 strace
( -f
추적 된 프로세스의 자식을 따르기 위해) 함께이 작업을 수행 할 수 있지만 ptrace의 일부로 syscall을 다시 시작하는 작동 방식은 응용 프로그램의 속도를 다소 느리게합니다.
# strace -e open -p 15735
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/gconv/gconv-modules.cache", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/lib/gconv/gconv-modules", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/python2.7/site-packages", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 4
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/etc/localtime", O_RDONLY|O_CLOEXEC) = 8
[...]
원하는 경우 strace [executable]
, 또는을 사용하여이 방법으로 응용 프로그램을 시작할 수도 있습니다 strace -f [executable]
.
답변
응용 프로그램이 여는 파일을 모니터링하는 데 가장 좋아하는 도구는 강력한 모니터링 프레임 워크 sysdig
입니다.
다음과 같은 프로그램으로 열린 모든 열린 파일을 모니터링합니다 exe_file
.
sudo sysdig -p "proc.name=exe_file %12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
서버에서 열린 모든 파일을 모니터링합니다.
sudo sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
홈 디렉토리의 이벤트 작성 만 포함하는 추적 파일 작성 (나중에 검사 할 수 있음 sysdig -r writetrace.scap.gz
) :
sudo sysdig -p "%user.name %proc.name %fd.name" "evt.type=write and fd.name contains /home/" -z -w writetrace.scap.gz
syscall 레벨에서 프로세스 exe_file
가 수행 하는 모든 것을 확인하십시오 .
sudo sysdig proc.name=exe_file
Sysdig는 많은 끌을 가지고 있습니다.
당신은 또한 가지고 dtrace
많은 리눅스에서 사용되지 않습니다,하지만 여전히 * BSD 운영 체제와 함께 많이 사용됩니다 :
# Files opened by process,
dtrace -n 'syscall::open*:entry { printf("%s %s",execname,copyinstr(arg0)); }'
게다가 sysdig
, strace
그리고 dtrace
, 당신은 또한 가지고있다 ltrace
,하는 과정에서 수신라고 기록 / 차단 신호 / 동적 라이브러리 / 시스템 호출 / :
ltrace
지정된 명령이 종료 될 때까지 단순히 지정된 명령을 실행하는 프로그램입니다. 실행 된 프로세스에 의해 호출 된 동적 라이브러리 호출과 해당 프로세스에 의해 수신 된 신호를 가로 채서 기록합니다. 프로그램에 의해 실행 된 시스템 호출을 가로 채서 인쇄 할 수도 있습니다.
$ltrace exe_file
_libc_start_main(0x400624, 1, 0x7ffcb7b6d7c8, 0x400710 <unfinished ...>
time(0) = 1508018406
srand(0x59e288e6, 0x7ffcb7b6d7c8, 0x7ffcb7b6d7d8, 0) = 0
sprintf("mkdir -p -- '/opt/sms/AU/mo'", "mkdir -p -- '%s'", "/opt/sms/AU/mo") = 28
system("mkdir -p -- '/opt/sms/AU/mo'" <no return ...>
--- SIGCHLD (Child exited) ---
<... system resumed> ) = 0
rand(2, 0x7ffcb7b6d480, 0, 0x7f9d6d4622b0) = 0x2d8ddbe1
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo") = 29
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1) = 3
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo") = 29
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1) = 4
+++ exited (status 0) +++
프로그램이 작은 경우에는 처리하는 모든 파일을 확인하기 위해 프로그램을 분해 objdump -d exe_file
하거나 분해 / 디 컴파일하는 것을 고려할 수 있습니다 Hopper
.
자세한 내용은 Linux 바이너리의 기능 이해를 참조하십시오.
첫 번째 접근 방식으로 다음도 수행합니다.
strings exe_file
저렴한 비용의 접근 방식이며 운이 좋으면 일부 파일 이름이 운이있는 바이너리 파일의 ASCII 모드로 표시 될 수 있습니다.
관련 답변 참조 왜 참과 거짓이 그렇게 큰가?
배포와 함께 제공되는 바이너리 / 파일 인 경우 배포의 소스 리포지토리 또는 실제 유틸리티의 공식 리포지토리에서 소스를 가져올 수도 있습니다.