最后防线: Linux进程实时监控

最新推荐文章于 2024-05-12 17:19:05 发布
最新推荐文章于 2024-05-12 17:19:05 发布
阅读量692 收藏
点赞数
分类专栏: HIDS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuzhina/article/details/113626526
版权

做Linux主机入侵检测系统,对进程监控是一个难点,要做不遗漏,也要做不影响系统性能,是非常困难。

在现代操作系统中,任何攻击行为都是借助进程这个执行单元来进行,检测攻击行为往往是对进程监控,检测是否存在异常行为。

命令方式

基本上,使用Linux的人都会用ps来获取进程信息。如果是获取所有进程,往往是

ps -ef


ps axu

如果是放在主机入侵检测系统实现,往往会使用fork/execvpopensystem之类的API调用ps命令,来获取命令的结果。这种方式非常简单容易上手,却存在问题:

  • 调用频次的考虑:太过频繁,会消耗大量系统性能,如果在生产环境机器使用,会影响业务; 频次太低,很多进程活动无法监控到。

  • 调用命令的隐患:任何一个命令在启动时,都要加载一大堆依赖的so,如果某些so不存在,命令是执行不了。如果命令执行完之后出现异常,成为僵尸进程,就会消耗大量系统句柄,导致后面一些业务进程无法启动。

  • 错误的处理:由于是调用命令,命令获取数据是否异常,无法得知,对这种错误无法处理,也会导致有大量无效数据。

  • 数据量的考虑:每次调用都是采集当前系统所有的进程,大量冗余数据,需要做不少过滤工作,否则会导致数据暴增。

读取proc文件系统

按照Unix哲学一切皆文件ps命令肯定是读取某些文件来获取这些信息。在《Unix环境高级编程》这本书都提到过ps的实现,是读取proc文件系统的。使用strace ps可以看到,ps就是读取proc文件系统的。

取一条ps的结果来对照一下proc文件系统能够获取的内容

UID         PID   PPID  C STIME TTY          TIME CMD
root       1326   1151  0 Feb02 ?        00:00:00 /sbin/dhclient -d -q -sf /usr/libexec/nm-dhcp-helper -pf /var/run/dhclient-ens33.pid -lf /var/lib/NetworkManager/dhclient-b8281210-bced-41a8-ba17-025e1d24054a-ens33.lease -cf /var/lib/NetworkManager/dhclient-ens

从上面信息可以看到启动进程的用户是root, 进程ID是1326,进程父ID是1151, cpu(C)使用率为0,启动时间(STIME)是2月2日,时间为0, 命令行是/sbin/dhclient -d -q -sf /usr/libexec/nm-dhcp-helper -pf /var/run/dhclient-ens33.pid -lf /var/lib/NetworkManager/dhclient-b8281210-bced-41a8-ba17-025e1d24054a-ens33.lease -cf /var/lib/NetworkManager/dhclient-ens

看一下1326这个进程在proc文件系统的内容:

[root@bogon-agent ~]# stat /proc/1326
  File: ‘/proc/1326’
  Size: 0               Blocks: 0          IO Block: 1024   directory
Device: 3h/3d   Inode: 22643       Links: 9
Access: (0555/dr-xr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Context: system_u:system_r:dhcpc_t:s0
Access: 2021-02-02 18:44:15.878000578 +0800
Modify: 2021-02-02 18:44:15.878000578 +0800
Change: 2021-02-02 18:44:15.878000578 +0800
 Birth: -

是2021年2月2日18:44:15分钟启动的,用户是root,组也是root。

[root@bogon-agent ~]# cat /proc/1326/cmdline
/sbin/dhclient-d-q-sf/usr/libexec/nm-dhcp-helper-pf/var/run/dhclient-ens33.pid-lf/var/lib/NetworkManager/dhclient-b8281210-bced-41a8-ba17-025e1d24054a-ens33.lease-cf/var/lib/NetworkManager/dhclient-ens33.confens33

命令行也是和ps结果一样。

[root@bogon-agent ~]# cat /proc/1326/status
Name:   dhclient
Umask:  0022
State:  S (sleeping)
Tgid:   1326
Ngid:   0
Pid:    1326
PPid:   1151

可以看到进程父ID是1151,进程在睡眠状态,所以使用率和使用时间是0.

而且通过阅读proc的手册知道,从proc文件系统还可以得到进程很多信息:

  1. cpu使用量

  2. 内存使用量

  3. 句柄数量和信息

  4. 线程数量和信息

  5. 端口和网络数据信息

  6. 命名空间信息

  7. 库加载信息

  8. 环境变量信息

  9. 文件系统加载信息

上面的操作,如果是在主机入侵检测系统里实现,就可以通过opendir/readdir/closediropen/read/closereadlink/realpath之类的API实现。这样的好处:

  • 不会产生僵尸进程

  • 可以对错误情况很好处理

  • 大大减少了采集的数据量:通过记录每次扫描时间,可以只对新创建的进程采集

但还是没有解决采集频率的问题,会存在消耗系统性能或遗漏采集的情况。这就需要进程的实时监控了。

实时监控方式

 

剩余内容请看本人公众号debugeeker, 链接为最后防线: Linux进程实时监控

debugeeker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux进程监控及管理
yonggeit的博客
05-10 5319
进程状态 进程类型 进程状态 进程的分类 Linux 系统状态的查看及管理工具 进程相关 pstree ps默认显示当前终端中的进程 字段含义 STAT 进程状态 常用组合 进程优先级调整 nice OPTION COMMAND ARG 执行时指定 renice -n priority pid top命令输入r然后根据提示输入进程ID再输入优先级数值 搜索进程 最灵活ps 选项 其它命令 按预
linux 进程监控
weixin_33798152的博客
11-29 132
linux 进程监控 supervise Supervise是daemontools的一个工具,可以用来监控管理unix下的应用程序运行情况,在应用程序出现异常时,supervise可以重新启动指定程序。 使用: mkdir test cd test vim run 写入希望执行的操作 supervise test (注意这里是的参数是run文件上层的文件夹,改变run的...
Linux】- 进程与主机状态监控[7]
最新发布
weixin_63106307的博客
05-12 1308
程序运行在操作系统中,是被操作系统所管理的。为管理运行的程序,每一个程序在运行的时候,便被操作系统注册为系统中的一个:进程并会为每一个进程都分配一个独有的:进程ID(进程号)Windows系统任务管理器linux系统查看进程可以通过ps命令查看Linux系统中的进程信息列出全部进程的全部信息查看指定进程我们可以使用管道符配合grep来进行过滤,如:,即可准确的找到tail命令的信息过滤不仅仅过滤名称,进程号,用户id等等,都可以被grep过滤哦。
Linux进程监控
NickWU博客
07-29 446
pcount=$(ps -fe|grep cmd-test.php |grep -v grep|wc -l|awk '{print $1}') if [ $pcount -eq 2 ] then echo "running two process" else echo "no have two process" fips -fe|grep cmd-test.php |
linux-进程监控
ouxu123的专栏
06-06 303
1、ps命令 直接在linux系统中输入“ps”,结果如下: 默认情况下,ps命令指挥显示运行在当前控制台下的属于当前用户的进程。 PID:程序的进程号 TTY:程序运行的终端 TIME:程序运行的时间 参数 -a  显示所有终端机下执行的程序,除了阶段作业领导者之外。 a  显示现行终端机下的所有程序,包括其他用户的程序。 -A  显示所有程序。 -c  
LINUX安全管理10道防线.pdf
09-07
8. 监控并响应异常登录:通过`/var/log/auth.log`监控登录尝试,一旦发现非法登录,立即终止相关进程,将攻击者的IP加入`/etc/hosts.deny`。 9. BIOS安全设置:修改BIOS设置,将硬盘设为优先启动设备,并设置BIOS...
Android智能手机系统的文件实时监控技术
01-09
1. **系统调用拦截**:在Android系统中,每个应用都有对应的Linux进程,它们通过系统调用与底层操作系统交互。通过修改Linux内核中的系统调用,如`sys_open`、`sys_execve`等,可以实现对文件访问事件的截获。当有...
Linux系统的安全性研究与分析.pdf
09-07
最后,日志监控和审计机制也是Linux安全体系的一部分。syslog服务记录系统活动,有助于检测异常行为和定位安全事件。同时,Linux的审计子系统可以跟踪关键操作,为安全分析提供详细信息。 除了上述措施,Linux还...
安全监控运维管理平台系统.docx
11-24
2. **操作系统运行状态监控**:支持Linux、Windows、Vmware等操作系统的监控,包括系统进程和服务,确保操作系统层面的安全和性能。 3. **数据库和应用监控**:涵盖MSSQL、ORACLE、MYSQL等主流数据库的监控,以及...
通过监控Linux运行进程来保证系统的安全
03-03
Linux系统提供了who、w、ps和top等察看进程信息的系统调用,通过结合使用这些系统调用,我们可以清晰地了解进程的运行状态以及存活情况,从而采取相应 的措施,来确保Linux系统的安全。它们是目前在Linux下最常见的进程状况查看工具,它们是随Linux套件发行的,安装好系统之后,用户就可以使用。Linux提供的这些命令都能提供关于进程的一些信息,可以通过它们查看系统当前的进程状况,也可以找出那些占用了过多系统资源的进程并结束该进程。它们的优点在于速度快,透明性好,直观明了。
如何监控和保护Linux进程安全
07-29
通过综合采用用户级别的top、ps等系统工具以及Linux内核防护技术,我们可以从用户/内核两个层次全方位地保护Linux系统中重要系统进程以及用户进程的安全性,从而达到保护Linux系统安全的目的。
监控Linux进程状态
热门推荐
badman250的专栏
08-30 3万+
pidstat 2 10 查看内存使用情况pidstat pidstat -r -p 13084 1
Linux 进程和系统监测
网络技术联盟站
06-07 764
Linux进程和系统监测是Linux系统管理中非常重要的一个方面。了解Linux进程管理和监测的基本方法和工具,能够帮助管理员快速、准确地诊断和解决系统性能问题。常见的进程监测工具包括top、htop、ps和pidstat等;常见的系统监测工具包括mpstat、vmstat、df和iostat等。在实际应用中,需要根据具体的需求选择合适的工具和命令。
linux对当前进程监视,对进程的监视 | Linux 中国
weixin_35489311的博客
04-30 144
由于复刻了 mon 项目到etbemon[1]中,我花了一些时间做监视脚本。事实上监视一些事情通常很容易,但是决定监视什么才是困难的部分。进程监视脚本ps.monitor是我重新设计过的一个。对于进程监视我有一些思路。如果你对进程监视如何做的更好有任何建议,请通过评论区告诉我。给不使用 mon 的人介绍一下,如果一切 OK 该监视脚本就返回 0,而如果有问题它会返回 1,并使用标准输出显示...
监控和管理Linux进程
MWJ20010901的博客
12-26 358
列出进程 中断进程 负载平均值
黑客防线杂志2013年11期:Linux内核安全与邮箱附件劫持技术
最后,"基于Snort、Mysql、Hadoop和HBASE实现异常流量检测与入侵调查系统"(linxinsnow[N.N.U])讨论了如何利用开源工具构建大规模的网络安全监控平台,以应对日益复杂的网络攻击。 这期杂志提供了丰富的IT安全知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值