使用 strace 跟踪用户进程和 Linux 内核之间的交互。
-- Gaurav Kamathe(作者)
系统调用(system call)是程序从内核请求服务的一种编程方式,而 strace 是一个功能强大的工具,可让你跟踪用户进程与 Linux 内核之间的交互。
要了解操作系统的工作原理,首先需要了解系统调用的工作原理。操作系统的主要功能之一是为用户程序提供抽象机制。
操作系统可以大致分为两种模式:
- 内核模式:操作系统内核使用的一种强大的特权模式
- 用户模式:大多数用户应用程序运行的地方 用户大多使用命令行实用程序和图形用户界面(GUI)来执行日常任务。系统调用在后台静默运行,与内核交互以完成工作。
系统调用与函数调用非常相似,这意味着它们都接受并处理参数然后返回值。唯一的区别是系统调用进入内核,而函数调用不进入。从用户空间切换到内核空间是使用特殊的 trap 机制完成的。
通过使用系统库(在 Linux 系统上又称为 glibc),大部分系统调用对用户隐藏了。尽管系统调用本质上是通用的,但是发出系统调用的机制在很大程度上取决于机器(架构)。
本文通过使用一些常规命令并使用 strace 分析每个命令进行的系统调用来探索一些实际示例。这些示例使用 Red Hat Enterprise Linux,但是这些命令运行在其他 Linux 发行版上应该也是相同的:
[root@sandbox ~]# cat /etc/redhat-releaseRed Hat Enterprise Linux Server release 7.7 (Maipo)[root@sandbox ~]#[root@sandbox ~]# uname -r3.10.0-1062.el7.x86_64[root@sandbox ~]#
首先,确保在系统上安装了必需的工具。你可以使用下面的 rpm 命令来验证是否安装了 strace。如果安装了,则可以使用 -V 选项检查 strace 实用程序的版本号:
[root@sandbox ~]# rpm -qa | grep -i stracestrace-4.12-9.el7.x86_64[root@sandbox ~]#[root@sandbox ~]# strace -Vstrace -- version 4.12[root@sandbox ~]#
如果没有安装,运行命令安装:
yum install strace
出于本示例的目的,在 /tmp 中创建一个测试目录,并使用 touch 命令创建两个文件:
[root@sandbox ~]# cd /tmp/[root@sandbox tmp]#[root@sandbox tmp]# mkdir testdir[root@sandbox tmp]#[root@sandbox tmp]# touch testdir/file1[root@sandbox tmp]# touch testdir/file2[root@sandbox tmp]#
(我使用 /tmp 目录是因为每个人都可以访问它,但是你可以根据需要选择另一个目录。)
在 testdir 目录下使用 ls 命令验证该文件已经创建:
[root@sandbox tmp]# ls testdir/file1 file2[root@sandbox tmp]#
你可能每天都在使用 ls 命令,而没有意识到系统调用在其下面发挥的作用。抽象地来说,该命令的工作方式如下:
命令行工具 -> 从系统库(glibc)调用函数 -> 调用系统调用
ls 命令内部从 Linux 上的系统库(即 glibc)调用函数。这些库去调用完成大部分工作的系统调用。
如果你想知道从 glibc 库中调用了哪些函数,请使用 ltrace 命令,然后跟上常规的 ls testdir/命令:
ltrace ls testdir/
如果没有安装 ltrace,键入如下命令安装:
yum install ltrace
大量的输出会被堆到屏幕上;不必担心,只需继续就行。ltrace 命令输出中与该示例有关的一些重要库函数包括:
opendir("testdir/") = { 3 }readdir({ 3 }) = { 101879119, "." }readdir({ 3 }) = { 134, ".." }readdir({ 3 }) = { 101879120, "file1" }strlen("file1") = 5memcpy(0x1665be0, "file10