Linux进程详细介绍

线上服务怀疑被人动了手脚，需要对服务器进行排查，从而发现可疑进程，LINUX服务器常见的进程信息如下：
idle：又称为swapper进程，所有线程的主线程，线程ID为0
systemd： /usr/lib/systemd/systemd初始化线程，PID为1
kthreadd:  kthreadd线程是内核空间其他内核线程的直接或间接父进程，PID为2
ksoftirqd： 内核线程，在创建的时候是绑定cpu的，每一个core对应生成一个ksoftirqd 线程，它的作用就是处理softirq用,它的本质就是调用 __do_softirq
migration：每个处理器核对应一个migration内核线程，主要作用是作为相应CPU核的迁移进程，用来执行进程迁移操作，内核中的函数是migration_thread()
events：内核线程。用来处理内核事件很多软硬件事件(比如断电，文件变更)被转换为events，并分发给对相应事件感兴趣的线程进行响应。
rcu_bh：RCU进程       RCU是锁进程）
rcu_sched：RCU进程  RCU是锁进程）
kworker：是 Linux 内核的工作线程，用于异步处理工作队列中的任务。这些任务包括处理硬件中断、文件系统事件、管理系统内存等。你可能会看到多个 kworker 进程，每个进程的名称后面都有一个数字，如 "kworker/0:1"、"kworker/1:2" 等。这个数字表示了 kworker 是在哪个 CPU 核心上运行的以及任务的顺序
polkitd：是Linux中的一种守护进程(daemon)，它是Polkit(PolicyKit)服务的一部分。Polkit是Linux中的一个授权框架，它允许非特权用户在执行某些任务时获得root权限，而无需在系统中实际登录为root用户
kdevtmpfs：
rpcbind: RPCBind服务是在Linux系统中的一个进程，它充当了一个映射程序和RPC进程之间的接口。它提供了一个本地到远程映射的服务。在Linux系统中，每个RPC服务器都必须先向RPCBind注册，这样客户端才能通过RPC服务器的名字来访问相应的进程。
Master：是一款基于Linux的进程管理工具，能够监控系统中的进程并提供详细的系统信息和进程状态。它可以用于监控系统的负载和资源使用，定位和解决系统故障和瓶颈等问题。该工具对于运维人员、系统管理员和开发人员都非常有用。
netns：网络命名空间
khungtaskd：创建一个内核监测线程(khungtaskd) 循环(每隔CONFIG_DEFAULT_HUNG_TASK_TIMEOUT 时间) 监测处于 D状态 的每一个进程（任务），统计它们在两次检测之间的调度次数，如果发现有任务在两次监测之间没有发生任何的调度，则可判断该进程一直处于D状态，很有可能已经死锁，因此触发报警日志打印，输出进程的基本信息，栈回溯以及寄存器保存信息以供内核开发人员定位。如果配置了 hung_task_panic（proc或内核启动参数），则直接发起 panic。
khugepaged ：是透明巨页的守护进程，它的主要功能是定时唤醒，根据配置尝试将4k 的普通page转成2M等巨页，减少TLB压力，提高内存使用效率。
writeback：Linux 采用内存页来缓存磁盘文件内容，从而提高系统整体IO访问性能，这就是我们熟知的pagecache机制，对于进程的一次写文件操作，内核只是简单的把修改写到内存，并把页面标记为脏页，然后直接返回，具体的回写操作，由内核周期性的启动线程来完成，这个我们称为writeback机制
kintegrityd：内核完整性检查进程
BIOSet：BIOSet进程是一种特殊的进程，它在Linux系统中负责接收和处理BIOS相关的信息和事件。BIOS，即基本输入输出系统，是一种固化在计算机主板上的固件，负责计算机的启动和硬件初始化。BIOSSet进程通过与BIOS交互，提供了一种方便的方式来配置和管理BIOS设置
kblockd：管理磁盘块读写
kswapd ：当系统物理内存不足时，就会将部分内存数据交换（swap）到硬盘上的交换分区（swap partition），以腾出物理内存继续使用。
edac-poller：edac检测器(具体功能未知)
kthrotld：系统进程，作用未知
kmpath_rdacd：系统进程，作用未知
kaluad：系统进程，作用未知
kpsmoused：是Linux内核中的一个驱动程序，用于支持PS/2鼠标设备。它负责处理PS/2鼠标的输入事件，并将其转换为用户空间可读取的数据
ipv6_addrconf：IPV6地址配置
deferwq：推迟队列
kauditd：安全审计服务
ib-comp-wq：
ib-comp-unb-wq:
ib_mcast：
ib_nl_sa_wq：
mlx5_ib_sigerr_：网卡驱动
rdma_cm ：rdma_cm主要用于管理连接（建立和断开）用于管理数据的收发。
ttm_swap：Translation Table Maps是在GEM之前开发的用于GPU的通用内存管理器
jbd2/vda3-8：日记块设备（磁盘IO有关）
ext4-rsv-conver：磁盘写回转换操作
/usr/lib/systemd/systemd-journald：systemd-journald是systemd守护进程的一个组件，负责收集、存储和检索系统日志
systemd-udevd：dev 操作由 systemd-udevd 守护进程管理
nfit：
rpciod：这种内核线程共有32个，从rpciod/0到rpciod/31, 每个处理器核对应一个rpciod内核线程,主要作用是作为远过程调用服务的守护进程，用于从客户端启动I/O服务，通常启动NFS服务时要用到它。
xprtiod：处理网络收发（未确定）
chronyd：时间同步服务，负责调整系统时间；
systemd-logind：管理用户登录和用户数
dbus-daemon：System Bus和Sevice Bus都是由守护进程提供服务，由DBus daemon的进程提供服务，System Bus (系统总线)、Sevice Bus (服务总线)分别对应不同的权限
pickup：系统进程
agetty：虚拟终端（类似SSHD客户端）
rstatd：rstatd服务是一种系统分析和检测工具，通过它可以收集Linux服务器的系统负载情况，监测系统中各项服务器资源的使用情况。它能够跟踪多个cpu，接口，存储设备等，以及可以检测多种服务，比如ftp，telnet，http等服务的情况。因此，能够有效的掌控Linux服务器的各项应用，防止可能的安全威胁，保护系统安全
crond：linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程。
atd：at是个可以处理仅执行一次就结束的定时任务的命令，需要先启动atd服务