最后防线: Linux进程实时监控

最新推荐文章于 2024-05-12 17:19:05 发布
最新推荐文章于 2024-05-12 17:19:05 发布
阅读量692 收藏
点赞数
分类专栏: HIDS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuzhina/article/details/113626526
版权

做Linux主机入侵检测系统,对进程监控是一个难点,要做不遗漏,也要做不影响系统性能,是非常困难。

在现代操作系统中,任何攻击行为都是借助进程这个执行单元来进行,检测攻击行为往往是对进程监控,检测是否存在异常行为。

命令方式

基本上,使用Linux的人都会用ps来获取进程信息。如果是获取所有进程,往往是

ps -ef


ps axu

如果是放在主机入侵检测系统实现,往往会使用fork/execvpopensystem之类的API调用ps命令,来获取命令的结果。这种方式非常简单容易上手,却存在问题:

  • 调用频次的考虑:太过频繁,会消耗大量系统性能,如果在生产环境机器使用,会影响业务; 频次太低,很多进程活动无法监控到。

  • 调用命令的隐患:任何一个命令在启动时,都要加载一大堆依赖的so,如果某些so不存在,命令是执行不了。如果命令执行完之后出现异常,成为僵尸进程,就会消耗大量系统句柄,导致后面一些业务进程无法启动。

  • 错误的处理:由于是调用命令,命令获取数据是否异常,无法得知,对这种错误无法处理,也会导致有大量无效数据。

  • 数据量的考虑:每次调用都是采集当前系统所有的进程,大量冗余数据,需要做不少过滤工作,否则会导致数据暴增。

读取proc文件系统

按照Unix哲学一切皆文件ps命令肯定是读取某些文件来获取这些信息。在《Unix环境高级编程》这本书都提到过ps的实现,是读取proc文件系统的。使用strace ps可以看到,ps就是读取proc文件系统的。

取一条ps的结果来对照一下proc文件系统能够获取的内容

UID         PID   PPID  C STIME TTY          TIME CMD
root       1326   1151  0 Feb02 ?        00:00:00 /sbin/dhclient -d -q -sf /usr/libexec/nm-dhcp-helper -pf /var/run/dhclient-ens33.pid -lf /var/lib/NetworkManager/dhclient-b8281210-bced-41a8-ba17-025e1d24054a-ens33.lease -cf /var/lib/NetworkManager/dhclient-ens

从上面信息可以看到启动进程的用户是root, 进程ID是1326,进程父ID是1151, cpu(C)使用率为0,启动时间(STIME)是2月2日,时间为0, 命令行是/sbin/dhclient -d -q -sf /usr/libexec/nm-dhcp-helper -pf /var/run/dhclient-ens33.pid -lf /var/lib/NetworkManager/dhclient-b8281210-bced-41a8-ba17-025e1d24054a-ens33.lease -cf /var/lib/NetworkManager/dhclient-ens

看一下1326这个进程在proc文件系统的内容:

[root@bogon-agent ~]# stat /proc/1326
  File: ‘/proc/1326’
  Size: 0               Blocks: 0          IO Block: 1024   directory
Device: 3h/3d   Inode: 22643       Links: 9
Access: (0555/dr-xr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Context: system_u:system_r:dhcpc_t:s0
Access: 2021-02-02 18:44:15.878000578 +0800
Modify: 2021-02-02 18:44:15.878000578 +0800
Change: 2021-02-02 18:44:15.878000578 +0800
 Birth: -

是2021年2月2日18:44:15分钟启动的,用户是root,组也是root。

[root@bogon-agent ~]# cat /proc/1326/cmdline
/sbin/dhclient-d-q-sf/usr/libexec/nm-dhcp-helper-pf/var/run/dhclient-ens33.pid-lf/var/lib/NetworkManager/dhclient-b8281210-bced-41a8-ba17-025e1d24054a-ens33.lease-cf/var/lib/NetworkManager/dhclient-ens33.confens33

命令行也是和ps结果一样。

[root@bogon-agent ~]# cat /proc/1326/status
Name:   dhclient
Umask:  0022
State:  S (sleeping)
Tgid:   1326
Ngid:   0
Pid:    1326
PPid:   1151

可以看到进程父ID是1151,进程在睡眠状态,所以使用率和使用时间是0.

而且通过阅读proc的手册知道,从proc文件系统还可以得到进程很多信息:

  1. cpu使用量

  2. 内存使用量

  3. 句柄数量和信息

  4. 线程数量和信息

  5. 端口和网络数据信息

  6. 命名空间信息

  7. 库加载信息

  8. 环境变量信息

  9. 文件系统加载信息

上面的操作,如果是在主机入侵检测系统里实现,就可以通过opendir/readdir/closediropen/read/closereadlink/realpath之类的API实现。这样的好处:

  • 不会产生僵尸进程

  • 可以对错误情况很好处理

  • 大大减少了采集的数据量:通过记录每次扫描时间,可以只对新创建的进程采集

但还是没有解决采集频率的问题,会存在消耗系统性能或遗漏采集的情况。这就需要进程的实时监控了。

实时监控方式

 

剩余内容请看本人公众号debugeeker, 链接为最后防线: Linux进程实时监控

debugeeker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LINUX安全管理10道防线.pdf
09-07
8. 监控并响应异常登录:通过`/var/log/auth.log`监控登录尝试,一旦发现非法登录,立即终止相关进程,将攻击者的IP加入`/etc/hosts.deny`。 9. BIOS安全设置:修改BIOS设置,将硬盘设为优先启动设备,并设置BIOS...
linux的dhcp获取不到地址,CentOS DHCP 不能获取IP地址
weixin_33274593的博客
05-12 2845
前些天,CentOS的客户端不能从DHCP服务器获取IP地址,能正常获取IP的系统中多了个dbclient进程猜想/sbin/dhclient是一个客户端的进程,它有2种功能,其一是与DHCP Server进行通讯,其二接收控制台的命令dhclient进程是由NetworkManager启动,NetworkManager进程如下:NetworkManager --pid-file=/var/run...
3.8-sudo命令
Evan's运维笔记
08-15 256
之前介绍过 su ,可以从普通用户下切换到 root 用户下,但前提是需要知道 root 用户密码。但是我们如果知道 root 密码的话,就直接登录 root 用户了,还需要从这切换吗,显得有点儿多此一举。 sudo 可以让普通用户临时执行一条命令,让普通用户临时拥有 root 身份 查看配置文件 [root@evan-01 ~]# visudo 实际上打开的是sudo的配置文件 “/etc/...
Linux】- 进程与主机状态监控[7]
最新发布
weixin_63106307的博客
05-12 1309
程序运行在操作系统中,是被操作系统所管理的。为管理运行的程序,每一个程序在运行的时候,便被操作系统注册为系统中的一个:进程并会为每一个进程都分配一个独有的:进程ID(进程号)Windows系统任务管理器linux系统查看进程可以通过ps命令查看Linux系统中的进程信息列出全部进程的全部信息查看指定进程我们可以使用管道符配合grep来进行过滤,如:,即可准确的找到tail命令的信息过滤不仅仅过滤名称,进程号,用户id等等,都可以被grep过滤哦。
Linux】ubuntu系统开机自动启动dhclient服务
weixin_52018852的博客
08-16 4016
第一个ExecStart命令用于启动ens33网卡,第二个ExecStart命令用于启动dhclient服务。1.打开终端,并切换到root用户或使用sudo命令以管理员权限运行以下命令。在Linux系统中,可以使用systemd来实现开机自动开启网卡并启动dhclient服务。最近发现虚拟机关机再开机重新启动时,dhclient服务需要每次重新开启,非常麻烦,所以设置自动开启的方式,便利远程登录。systemctl enable命令将服务添加到开机启动项,systemctl start命令将启动服务。
完美解决Ubuntu网络故障,连接异常,IP地址一直显示127.0.0.1
m0_63230155的博客
08-28 3336
这就是DHCP的作用。DHCP服务器分配IP地址并提供其他网络配置信息,以使连接设备的过程更加自动化和简化。DHCP代表"Dynamic Host Configuration Protocol",它是一种网络协议,用于自动分配IP地址、子网掩码、默认网关和其他网络配置参数给计算机。命令时,DHCP客户端会向网络中的DHCP服务器发送一个请求,以获取可用的IP地址及其他配置信息。客户端会等待服务器的响应,一旦接收到响应,它将会配置设备的网络设置,包括IP地址、子网掩码、默认网关和DNS服务器等。
云服务器重启后无法获取IP地址怎么办?
洒满阳光的午后的博客
12-02 2025
最近一位支撑厂家同事反馈,在执行了并重启服务器后,IP信息丢失,无法获取到IP地址,以下为该问题的排查思路。
Android智能手机系统的文件实时监控技术
01-09
1. **系统调用拦截**:在Android系统中,每个应用都有对应的Linux进程,它们通过系统调用与底层操作系统交互。通过修改Linux内核中的系统调用,如`sys_open`、`sys_execve`等,可以实现对文件访问事件的截获。当有...
Linux系统的安全性研究与分析.pdf
09-07
最后,日志监控和审计机制也是Linux安全体系的一部分。syslog服务记录系统活动,有助于检测异常行为和定位安全事件。同时,Linux的审计子系统可以跟踪关键操作,为安全分析提供详细信息。 除了上述措施,Linux还...
安全监控运维管理平台系统.docx
11-24
2. **操作系统运行状态监控**:支持Linux、Windows、Vmware等操作系统的监控,包括系统进程和服务,确保操作系统层面的安全和性能。 3. **数据库和应用监控**:涵盖MSSQL、ORACLE、MYSQL等主流数据库的监控,以及...
Linux-dhclient命令
weixin_54217950的博客
12-06 1669
命令解析 dhcilent 使用动态主机配置协议动态的配置网络接口的网络参数; 可以在命令行上指定dhclient应尝试配置的网络接口的名称。 如果在命令行上未指定接口名称,则dhclient通常会识别所有网络接口,如果可能,将消除非广播接口,并尝试配置每个接口。 也可以在dhclient.conf文件中按名称指定接口。 如果以这种方式指定接口,则客户端将仅配置在配置文件或命令行中指定的接口,并将忽略所有其他接口。 客户端通常在其启动序列期间不输出任何输出。 可以使它发出显示启动顺序事件的详细消息,直到通过
解决Debian使用ip addr查不到ip地址的问题
qq_41904729的博客
07-02 3996
使用ip addr查询ip地址出现以下情况 解决办法:执行以下命令 sudo /sbin/dhclient ip地址是192.168.124.14(原先是192.168.124.15)
Linux】一步一步学Linux——sudo配置文件详解(106)
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师---欢迎大家一起交流(私信添加博主微信)
08-03 1731
00. 目录 文章目录00. 目录01. sudo的配置文件02. sudo命令别名规则03. sudo命令授权规则04. 实战演练05. 附录 01. sudo的配置文件 sudo的配置文件是**/etc/sudoers** ,我们可以用他的专用编辑工具visudo ,此工具的好处是在添加规则不太准确时,保存退出时会提示给我们错误信息;配置好后,可以用切换到您授权的用户下,通过sudo -l来查...
linux服务篇-DHCP服务
太极淘的博客
05-17 1479
DHCP服务概述: 名称:DHCP - Dynamic Host Configuration Protocol 动态主机配置协议 功能:DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获取服务器分配的IP地址和子网掩码。默认情况下,DHCP在windows server的一个服务组件不会自动安装,需要手动安装并配置相关参数。 DHCP通常被应用在大型的局域网络..
linux(DHCP服务)
weixin_33923148的博客
09-15 103
DHCP服务1、基本信息:1)网卡配置文件:/etc/sysconfig/network-scripts/ifcfg-XXX示例:查看第一块网卡信息:[root@ns ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0输出如下:DEVICE=eth0 ##设置网卡接口的名称HWADDR=00:0C:29:86:2A:B0 ...
ubuntu动态分配DHCP
Uzizi的博客
08-22 1770
终端输入命令:sudo /sbin/dhclient
linux 网络配置命令
哈哈星云
05-30 254
一、ifconfig 激活和终止网络接口的用 ifconfig 命令,后面接网络接口,然后加上 down或up参数,就可以禁止或激活相应的网络接口了。当然也可以用专用工具ifup和ifdown 工具; [root@linuxso.com ~]# ifconfig eth0 down [root@linuxso.com ~]# ifconfig eth0 up [root@linuxso.com ~...
网络地址命令
tina_tian1的博客
03-29 372
1. dhclient命令使用动态主机配置协议动态的配置网络接口的网络参数 [root@prop-idm ~]# ps -elf | grep dhcp 4 S root 787 708 0 80 0 - 28342 poll_s Mar27 ? 00:00:00 /sbin/dhclient -d -q -sf /usr/libexec/nm-dhcp-h...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值