【Linux】深入解析Linux proc文件系统

在Linux上,proc是一个伪文件系统,提供了访问内核数据的方法,一般挂载在“/proc”目录,其中的大部分内容是只读的,挂载(mount)信息可能为:

proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)

proc文件系统支持如下挂载选项:

hidepid=_n
gid=_gid

_n设置访问“/proc/[pid]”目录的权限,可以取值为0、1、2,0为默认值,表示任何人可以访问“/proc/[pid]”的所有目录,1表示只能访问访问者本身所属进程对应目录的内容,其它进程的目录的内容一概不能访问,这隐藏了敏感文件的信息如“/proc/[pid]/cmdline”、“/proc/[pid]/status”等,2类似于1,但是“/proc/[pid]”目录对于其它用户来说是不见的,也就是说不能直观地看到pid值,但PID确实是存在的,可以通过其它方法如kill -0 $PID获取,虽然隐藏了UID、GID,但是仍然可以通过命令stat获取,这增加了攻击者获取进程信息的难度。
_gid设置组ID,授权其成员可以获取进程信息(man sudoers)。

下面列举“/proc”文件系统下的文件和目录。

1、pid目录

“/proc/[pid]”,目录,pid为进程的数字ID,是个数值,每个运行着的进程都有这么一个目录。
“/proc/[pid]/attr”,目录,提供了安全相关的属性,可读可写,以支持安全模块如SELinux等,需配置CONFIG_SECURITY。
“/proc/[pid]/attr/current”,文件,当前的安全相关的属性。
“/proc/[pid]/attr/exec”,文件,执行命令execve时设置的安全相关的属性。
“/proc/[pid]/attr/fscreate”,文件,执行命令openmkdirsymlinkmknod时设置的安全相关的属性。
“/proc/[pid]/attr/keycreate”,文件,执行命令add_key时设置的安全相关的属性。
“/proc/[pid]/attr/prev”,文件,最后一次执行命令execve时的安全相关的属性,即前一个“/proc/[pid]/attr/current”。
“/proc/[pid]/attr/sockcreate”,文件,创建socket时设置的安全相关的属性。
“/proc/[pid]/auxv”,文件,ELF解释器信息,格式为一个unsigned long类型的ID加一个unsigned long类型的值,最后为两个0(man getauxval)。
“/proc/[pid]/cgroup”,文件,进程所属的控制组,格式为冒号分隔的三个字段,分别是结构ID、子系统、控制组,需配置CONFIG_CGROUPS。
“/proc/[pid]/clear_refs”,文件,只写,只用于进程的拥有者,清除用于估算内存使用量的PG_Referenced和ACCESSED/YOUNG,有1、2、3、4四种策略,1表示清除相关的所有页,2表示清除相关的匿名页,3表示清除相关的映射文件的页,4表示清除相关的soft-dirty的页,需配置CONFIG_PROC_PAGE_MONITOR。
“/proc/[pid]/cmdline”,文件,只读,保存启动进程的完整的命令行字符串,如果是僵尸进程,这个文件为空。
“/proc/[pid]/comm”,文件,进程的命令名,不同的线程(man clone prctl pthread_setname_np)可能有不同的线程名,位置在“task/[tid]/comm”,名字长度超过TASK_COMM_LEN时会被截断。
“/proc/[pid]/coredump_filter”,文件,coredump过滤器,如00000033(man core),不同的二进制位表示过滤不同的信息。
“/proc/[pid]/cpuset”,文件,控制CPU和内存的节点(man cpuset)。
“/proc/[pid]/cwd”,目录,符号链接到当前工作目录。
“/proc/[pid]/environ”,文件,环境变量。
“/proc/[pid]/exe”,文件,符号链接到启动进程的完整命令。
“/proc/[pid]/fd/”,目录,包含当前的fd,这些fd符号链接到真正打开的文件。
“/proc/[pid]/fdinfo/”,目录,包含当前fd的信息,不同类型的fd信息不同。
“/proc/[pid]/io”,文件,IO信息。
“/proc/[pid]/gid_map”,文件,从用户命名空间映射的组ID的信息(man user_namespaces)。
“/proc/[pid]/limits”,文件,资源软、硬限制(man getrlimit)。
“/proc/[pid]/map_files/”,目录,包括一些内存映射文件(man mmap),文件名格式为BeginAddress-EndAddress,符号链接到映射的文件,需要配置CONFIG_CHECKPOINT_RESTORE。
“/proc/[pid]/maps”,文件,内存映射信息,下面“proc-pid-maps”详细介绍。
“/proc/[pid]/mem”,文件,用于通过open、read、lseek访问进程的内存页。
“/proc/[pid]/mountinfo”,文件,挂载信息,格式为36 35 98:0 /mnt1 /mnt2 rw,noatime master:1 - ext3 /dev/root rw,errors=continue,以空格作为分隔符,从左到右各字段的意思分别是唯一挂载ID、父挂载ID、文件系统的设备主从号码、文件系统中挂载的根节点、相对于进程根节点的挂载点、挂载权限等挂载配置、可选配置、短横线表示前面可选配置的结束、文件系统类型、文件系统特有的挂载源或者为none、额外配置。
/proc/[pid]/mounts,文件,挂载在当前进程的文件系统列表,格式参照(man fstab)。
/proc/[pid]/mountstats,文件,挂载信息,格式形如device /dev/sda7 mounted on /home with fstype ext3 [statistics]
/proc/[pid]/ns/,目录,保存了每个名字空间的入口,详见(man namespaces)。
/proc/[pid]/numa_maps,文件,numa即Non Uniform Memory Access,详见(man numa)。
/proc/[pid]/oom_adj,文件,调整OOM分数,OOM即Out Of Memory,发生OOM时OOM Killer根据OOM分数杀掉分数高的进程,默认值为0,会继承自父进程的设置。
/proc/[pid]/oom_score,文件,OOM分数。
/proc/[pid]/oom_score_adj,文件,OOM分值介于-1000到1000之间。
/proc/[pid]/pagemap,文件,当前进程的虚拟内存页映射信息,需要配置CONFIG_PROC_PAGE_MONITOR。
/proc/[pid]/personality,文件,进行执行域。
/proc/[pid]/root,目录,链接到了当前进程的根目录。
/proc/[pid]/seccomp,文件,seccomp模式下允许的系统调用只有read、write、_exit、sigreturn,Linux 2.6.23已弃用这个文件,由prctl替代。
/proc/[pid]/setgroups,文件,详见(man user_namespaces)。
“/proc/[pid]/smaps”,文件,内存映射信息,类似于pmap命令,需要配置CONFIG_PROC_PAGE_MONITOR,下面“proc-pid-smaps”详细介绍。
/proc/[pid]/stack,文件,内核空间的函数调用堆栈,需要配置CONFIG_STACKTRACE。
/proc/[pid]/stat,文件,进程状态信息,用于ps命令。
/proc/[pid]/statm,文件,进程内存使用信息,以空格分隔的7个数字,从左到右分别表示程序总大小、常驻内存大小、共享内存页大小、text code、library、data + stack、dirty pages。
/proc/[pid]/status,文件,可读性好的进程相关信息,下面“proc-pid-status”详细介绍。
/proc/[pid]/syscall,文件,系统调用相关信息,需要配置CONFIG_HAVE_ARCH_TRACEHOOK。
/proc/[pid]/task,目录,每个线程一个子目录,目录名为线程ID。
/proc/[pid]/timers,文件,POSIT定时器列表,包括定时器ID、信号等信息。
/proc/[pid]/uid_map,文件,用户ID映射信息,详见(man user_namespaces)。
/proc/[pid]/gid_map,文件,组ID映射信息,详见(man user_namespaces)。
/proc/[pid]/wchan,文件,进程休眠时内核中相应位置的符号表示,如do_wait。

2、proc-pid-maps

maps文件内容的格式如下:

       address                      perms offset    dev    inode        pathname
       00400000-00452000 r-xp 00000000 08:02 173521      /usr/bin/dbus-daemon
       00651000-00652000 r--p 00051000 08:02 173521      /usr/bin/dbus-daemon
       00652000-00655000 rw-p 00052000 08:02 173521      /usr/bin/dbus-daemon
       00e03000-00e24000 rw-p 00000000 00:00 0           [heap]
       00e24000-011f7000 rw-p 00000000 00:00 0           [heap]
       ...
       35b1800000-35b1820000 r-xp 00000000 08:02 135522  /usr/lib64/ld-2.15.so
       35b1a1f000-35b1a20000 r--p 0001f000 08:02 135522  /usr/lib64/ld-2.15.so
       35b1a20000-35b1a21000 rw-p 00020000 08:02 135522  /usr/lib64/ld-2.15.so
       35b1a21000-35b1a22000 rw-p 00000000 00:00 0
       35b1c00000-35b1dac000 r-xp 00000000 08:02 135870  /usr/lib64/libc-2.15.so
       35b1dac000-35b1fac000 ---p 001ac000 08:02 135870  /usr/lib64/libc-2.15.so
       35b1fac000-35b1fb0000 r--p 001ac000 08:02 135870  /usr/lib64/libc-2.15.so
       35b1fb0000-35b1fb2000 rw-p 001b0000 08:02 135870  /usr/lib64/libc-2.15.so
       ...
       f2c6ff8c000-7f2c7078c000 rw-p 00000000 00:00 0    [stack:986]
       ...
       7fffb2c0d000-7fffb2c2e000 rw-p 00000000 00:00 0   [stack]
       7fffb2d48000-7fffb2d49000 r-xp 00000000 00:00 0   [vdso]

address字段表示进程中内存映射占据的地址空间,格式为十六进制的BeginAddress-EndAddress。
perms字段表示权限,共四个字符,依次为rwxs或rwxp,其中r为read,w为write,x为execute,s为shared,p为private,对应位置没有权限时用一个短横线代替。
offset字段表示内存映射地址在文件中的字节偏移量。
dev字段表示device,格式为major:minor。
inode字段表示对应device的inode,0表示内存映射区域没有关联的inode,如未初始化的BSS数据段就是这种情况。
pathname字段用于内存映射的文件,对于ELF格式的文件来说,可以通过命令readelf -l查看ELF程序头部的Offset字段,与maps文件的offset字段作对比。pathname可能为空,表示匿名映射,这种情况下难以调试进程,如gdb、strace等命令。除了正常的文件路径之外,pathname还可能是下面的值:

[stack]    初始进程(主线程)的stack
[stack:<tid>]    线程IDtidstack
[vdso]    Virtual Dynamically linked Shared Object
[heap]    进程的heap

3、proc-pid-smaps

smaps文件内容的格式如下:

                      00400000-0048a000 r-xp 00000000 fd:03 960637       /bin/bash
                      Size:                552 kB
                      Rss:                 460 kB
                      Pss:                 100 kB
                      Shared_Clean:        452 kB
                      Shared_Dirty:          0 kB
                      Private_Clean:         8 kB
                      Private_Dirty:         0 kB
                      Referenced:          460 kB
                      Anonymous:             0 kB
                      AnonHugePages:         0 kB
                      Swap:                  0 kB
                      KernelPageSize:        4 kB
                      MMUPageSize:           4 kB
                      Locked:                0 kB

第一行内容同maps文件,剩下的是各种类型的内存映射大小,其中Rss表示当前常驻在RAM中的内存,Pss表示进程按比例共享的内存。

4、proc-pid-status

status文件内容的格式如下(查看当前shell命令所在进程的信息):

                  $ cat /proc/$$/status
                  Name:   bash
                  State:  S (sleeping)
                  Tgid:   3515
                  Pid:    3515
                  PPid:   3452
                  TracerPid:      0
                  Uid:    1000    1000    1000    1000
                  Gid:    100     100     100     100
                  FDSize: 256
                  Groups: 16 33 100
                  VmPeak:     9136 kB
                  VmSize:     7896 kB
                  VmLck:         0 kB
                  VmPin:         0 kB
                  VmHWM:      7572 kB
                  VmRSS:      6316 kB
                  VmData:     5224 kB
                  VmStk:        88 kB
                  VmExe:       572 kB
                  VmLib:      1708 kB
                  VmPMD:         4 kB
                  VmPTE:        20 kB
                  VmSwap:        0 kB
                  Threads:        1
                  SigQ:   0/3067
                  SigPnd: 0000000000000000
                  ShdPnd: 0000000000000000
                  SigBlk: 0000000000010000
                  SigIgn: 0000000000384004
                  SigCgt: 000000004b813efb
                  CapInh: 0000000000000000
                  CapPrm: 0000000000000000
                  CapEff: 0000000000000000
                  CapBnd: ffffffffffffffff
                  CapAmb:   0000000000000000
                  Seccomp:        0
                  Cpus_allowed:   00000001
                  Cpus_allowed_list:      0
                  Mems_allowed:   1
                  Mems_allowed_list:      0
                  voluntary_ctxt_switches:        150
                  nonvoluntary_ctxt_switches:     545

5、bus目录

/proc/bus,目录,已安装的总线。
/proc/bus/pccard
/proc/bus/pccard/drivers
/proc/bus/pci
/proc/bus/pci/devices

6、net目录

/proc/net,目录,网络伪文件系统相关。
/proc/net/arp
/proc/net/dev
/proc/net/dev_mcast
/proc/net/igmp
/proc/net/rarp
/proc/net/raw
/proc/net/snmp
/proc/net/tcp
/proc/net/udp
/proc/net/unix
/proc/net/netfilter/nfnetlink_queue

7、sys目录

/proc/sys,目录,系统变量相关信息,详细如下。
/proc/sys/abi
/proc/sys/debug
/proc/sys/dev
/proc/sys/fs
/proc/sys/fs/binfmt_misc
/proc/sys/fs/dentry-state
/proc/sys/fs/dir-notify-enable
/proc/sys/fs/dquot-max
/proc/sys/fs/dquot-nr
/proc/sys/fs/epoll
/proc/sys/fs/file-max
/proc/sys/fs/file-nr
/proc/sys/fs/inode-max
/proc/sys/fs/inode-nr
/proc/sys/fs/inode-state
/proc/sys/fs/inotify
/proc/sys/fs/lease-break-time
/proc/sys/fs/leases-enable
/proc/sys/fs/mqueue
/proc/sys/fs/nr_open
/proc/sys/fs/overflowgid
/proc/sys/fs/overflowuid
/proc/sys/fs/pipe-max-size
/proc/sys/fs/protected_hardlinks
/proc/sys/fs/protected_symlinks
/proc/sys/fs/suid_dumpable
/proc/sys/fs/super-max
/proc/sys/fs/super-nr
/proc/sys/kernel
/proc/sys/kernel/acct
/proc/sys/kernel/auto_msgmni
/proc/sys/kernel/cap_last_cap
/proc/sys/kernel/cap-bound
/proc/sys/kernel/core_pattern
/proc/sys/kernel/core_uses_pid
/proc/sys/kernel/ctrl-alt-del
/proc/sys/kernel/dmesg_restrict
/proc/sys/kernel/domainname
/proc/sys/kernel/hostname
/proc/sys/kernel/hotplug
/proc/sys/kernel/htab-reclaim
/proc/sys/kernel/kptr_restrict
/proc/sys/kernel/l2cr
/proc/sys/kernel/modprobe
/proc/sys/kernel/modules_disabled
/proc/sys/kernel/msgmax
/proc/sys/kernel/msgmni
/proc/sys/kernel/msgmnb
/proc/sys/kernel/ngroups_max
/proc/sys/kernel/ostype
/proc/sys/kernel/osrelease
/proc/sys/kernel/overflowgid
/proc/sys/kernel/overflowuid
/proc/sys/kernel/panic
/proc/sys/kernel/panic_on_oops
/proc/sys/kernel/pid_max
/proc/sys/kernel/powersave-nap
/proc/sys/kernel/printk
/proc/sys/kernel/pty
/proc/sys/kernel/pty/max
/proc/sys/kernel/pty/nr
/proc/sys/kernel/random
/proc/sys/kernel/random/uuid
/proc/sys/kernel/randomize_va_space
/proc/sys/kernel/real-root-dev
/proc/sys/kernel/reboot-cmd
/proc/sys/kernel/rtsig-max
/proc/sys/kernel/rtsig-nr
/proc/sys/kernel/sched_rr_timeslice_ms
/proc/sys/kernel/sched_rt_period_us
/proc/sys/kernel/sched_rt_period_us
/proc/sys/kernel/sem
/proc/sys/kernel/sg-big-buff
/proc/sys/kernel/shm_rmid_forced
/proc/sys/kernel/shmall
/proc/sys/kernel/shmmax
/proc/sys/kernel/shmmni
/proc/sys/kernel/sysctl_writes_strict
/proc/sys/kernel/sysrq
/proc/sys/kernel/version
/proc/sys/kernel/threads-max
/proc/sys/kernel/yama/ptrace_scope
/proc/sys/kernel/zero-paged
/proc/sys/net
/proc/sys/net/core/bpf_jit_enable
/proc/sys/net/core/somaxconn
/proc/sys/proc
/proc/sys/sunrpc
/proc/sys/vm
/proc/sys/vm/compact_memory
/proc/sys/vm/drop_caches
/proc/sys/vm/legacy_va_layout
/proc/sys/vm/memory_failure_early_kill
/proc/sys/vm/memory_failure_recovery
/proc/sys/vm/oom_dump_tasks
/proc/sys/vm/oom_kill_allocating_task
/proc/sys/vm/overcommit_kbytes
/proc/sys/vm/overcommit_memory
/proc/sys/vm/overcommit_ratio
/proc/sys/vm/panic_on_oom
/proc/sys/vm/swappiness

N、其它

/proc/apm,文件,apm即Advanced Power Management,需要配置CONFIG_APM。
/proc/buddyinfo,文件,用于诊断内存碎片问题。
/proc/cmdline,文件,系统启动时传递给Linux内核的参数,如lilo、grub等boot管理模块。
/proc/config.gz,文件,内核编译配置选项,需要配置CONFIG_IKCONFIG_PROC。
/proc/crypto,文件,内核加密API提供的加密列表。
/proc/cpuinfo,文件,CPU和系统架构信息,lscpu命令使用这个文件。
/proc/devices,文件,设备相关信息。
/proc/diskstats,文件,磁盘状态。
/proc/dma,文件,dma即Direct Memory Access。
/proc/driver/rtc,文件,系统运行时配置。
/proc/execdomains,文件,执行域列表。
/proc/fb,文件,Frame Buffer信息,需要配置CONFIG_FB。
/proc/filesystems,文件,内核支持的文件系统类型(man filesystems)。
/proc/fs,目录,挂载的文件系统信息。
/proc/ide,目录,用于IDE接口。
/proc/interrupts,文件,每个CPU每个IO的中断信息。
/proc/iomem,文件,IO内存映射信息。
/proc/ioports,文件,IO端口信息。
/proc/kallsyms,文件,用于动态链接和和模块绑定的符号定义。
/proc/kcore,文件,系统中ELF格式的物理内存。
/proc/kmsg,文件,内核信息,dmsg命令使用这个文件。
/proc/kpagecount,文件,每个物理页帧映射的次数,需要配置CONFIG_PROC_PAGE_MONITOR。
/proc/kpageflags,文件,每个物理页帧的掩码,需要配置CONFIG_PROC_PAGE_MONITOR。
/proc/ksyms,文件,同kallsyms。
/proc/loadavg,文件,工作负荷。
/proc/locks,文件,当前文件锁的状态。
/proc/malloc,文件,需要配置CONFIG_DEBUG_MALLOC。
/proc/meminfo,文件,系统内存使用统计,free命令使用了这个文件。
/proc/modules,文件,系统加载的模块信息,相关命令为lsmod。
/proc/mounts,文件,链接到了/self/mounts。
/proc/mtrr,文件,Memory Type Range Registers。
/proc/partitions,文件,分区信息。
/proc/pci,文件,PCI接口设备。
/proc/profile,文件,用于readprofile命令作性能分析。
/proc/scsi,目录,SCSI接口设备。
/proc/scsi/scsi
/proc/scsi/[drivername]
/proc/self,目录,链接到了当前进程所在的目录。
/proc/slabinfo,文件,内核缓存信息,需要配置CONFIG_SLAB。
/proc/stat,文件,系统信息统计。
/proc/swaps,文件,使用的交换空间。
/proc/sysrq-trigger,文件,可写,触发系统调用。
/proc/sysvipc,目录,包括msg、sem、shm三个文件,为System V IPC对象。
/proc/thread-self,文件,链接到了当前进程下的task目录中的线程文件。
/proc/timer_list,文件,还在运行着的定时器列表。
/proc/timer_stats,文件,定时器状态。
/proc/tty,目录,tty设备相关。
/proc/uptime,文件,系统更新时间和进程空闲时间。
/proc/version,文件,内核版本信息。
/proc/vmstat,文件,内存统计信息,以键值对形式显示。
/proc/zoneinfo,文件,内存区块信息,用于分析虚拟内存的行为。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值