linux下监控shell脚本或可执行程序启动过的子进程

最新推荐文章于 2024-07-16 04:20:52 发布
原创 最新推荐文章于 2024-07-16 04:20:52 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #shell #fork #execve #进程

本文介绍使用auditd和strace工具监控子进程启动的方法。通过配置auditd规则或使用strace跟踪execve系统调用,可以获取make命令及shell脚本启动的子进程详情。

使用history命令可以查看在shell中直接执行过的命令,但是无法查看间接执行过的命令,或者说启动过的子进程。举个例子,shell脚本或者make命令都会启动一些子进程,这些子进程并不会显示在history命令的输出中,那么如何监控他们启动过哪些子进程呢?

首先需要明确的是,shell脚本靠得也是sh可执行程序加载执行,./foo.sh的效果一般等同于sh ./foo.sh,因此监控shell脚本启动过的子进程和监控其他可执行程序启动过的子进程是一样的。

假设我们有以下Makefile

all: main

main: main.cpp
	g++ -o main main.cpp

clean:
	rm main

现在我们来想办法监控当我们执行makemake clean时有哪些子进程被启动了。

auditd

如果你有root权限的话,那利用现成的auditd工具可以轻松的完成这项任务。auditd能监控的不只是单个进程启动过哪些子进程,它能监控整个系统中启动过哪些进程。除此之外,它还能监控哪些进程调用过我们指定监控的系统调用,以及哪些进程读/写/执行过我们指定监控的文件或目录,功能非常强大,有兴趣的可以参考一下auditd的文档。

安装好auditd后,按照如下方式配置监控规则:

auditctl -a task,always

然后执行makemake clean

最后执行以下命令查看监控日志:

ausearch -i -sc execve

对输出结果过滤一下,我们得到以下列表:

type=EXECVE msg=audit(2019年07月21日 10:40:45.562:213) : argc=1 a0=make 
type=EXECVE msg=audit(2019年07月21日 10:40:45.762:318) : argc=4 a0=g++ a1=-o a2=main a3=main.cpp 
type=EXECVE msg=audit(2019年07月21日 10:40:45.846:424) : argc=18 a0=/usr/lib/gcc/x86_64-linux-gnu/7/cc1plus a1=-quiet a2=-imultiarch a3=x86_64-linux-gnu a4=-D_GNU_SOURCE a5=main.cpp a6=-quiet a7=-dumpbase a8=main.cpp a9=-mtune=generic a10=-march=x86-64 a11=-auxbase a12=main a13=-fstack-protector-strong a14=-Wformat a15=-Wformat-security a16=-o a17=/tmp/ccgkuFBX.s 
type=EXECVE msg=audit(2019年07月21日 10:41:01.427:5798) : argc=5 a0=as a1=--64 a2=-o a3=/tmp/ccr9a4fi.o a4=/tmp/ccgkuFBX.s 
type=EXECVE msg=audit(2019年07月21日 10:41:02.671:6006) : argc=47 a0=/usr/lib/gcc/x86_64-linux-gnu/7/collect2 a1=-plugin a2=/usr/lib/gcc/x86_64-linux-gnu/7/liblto_plugin.so a3=-plugin-opt=/usr/lib/gcc/x86_64-linux-gnu/7/lto-wrapper a4=-plugin-opt=-fresolution=/tmp/cccPuGlF.res a5=-plugin-opt=-pass-through=-lgcc_s a6=-plugin-opt=-pass-through=-lgcc a7=-plugin-opt=-pass-through=-lc a8=-plugin-opt=-pass-through=-lgcc_s a9=-plugin-opt=-pass-through=-lgcc a10=--sysroot=/ a11=--build-id a12=--eh-frame-hdr a13=-m a14=elf_x86_64 a15=--hash-style=gnu a16=--as-needed a17=-dynamic-linker a18=/lib64/ld-linux-x86-64.so.2 a19=-pie a20=-z a21=now a22=-z a23=relro a24=-o a25=main a26=/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu/Scrt1.o a27=/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu/crti.o a28=/usr/lib/gcc/x86_64-linux-gnu/7/crtbeginS.o a29=-L/usr/lib/gcc/x86_64-linux-gnu/7 a30=-L/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu a31=-L/usr/lib/gcc/x86_64-linux-gnu/7/../../../../lib a32=-L/lib/x86_64-linux-gnu a33=-L/lib/../lib a34=-L/usr/lib/x86_64-linux-gnu a35=-L/usr/lib/../lib a36=-L/usr/lib/gcc/x86_64-linux-gnu/7/../../.. a37=/tmp/ccr9a4fi.o a38=-lstdc++ a39=-lm a40=-lgcc_s a41=-lgcc a42=-lc a43=-lgcc_s a44=-lgcc a45=/usr/lib/gcc/x86_64-linux-gnu/7/crtendS.o a46=/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu/crtn.o 
type=EXECVE msg=audit(2019年07月21日 10:41:03.107:6183) : argc=47 a0=/usr/bin/ld a1=-plugin a2=/usr/lib/gcc/x86_64-linux-gnu/7/liblto_plugin.so a3=-plugin-opt=/usr/lib/gcc/x86_64-linux-gnu/7/lto-wrapper a4=-plugin-opt=-fresolution=/tmp/cccPuGlF.res a5=-plugin-opt=-pass-through=-lgcc_s a6=-plugin-opt=-pass-through=-lgcc a7=-plugin-opt=-pass-through=-lc a8=-plugin-opt=-pass-through=-lgcc_s a9=-plugin-opt=-pass-through=-lgcc a10=--sysroot=/ a11=--build-id a12=--eh-frame-hdr a13=-m a14=elf_x86_64 a15=--hash-style=gnu a16=--as-needed a17=-dynamic-linker a18=/lib64/ld-linux-x86-64.so.2 a19=-pie a20=-z a21=now a22=-z a23=relro a24=-o a25=main a26=/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu/Scrt1.o a27=/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu/crti.o a28=/usr/lib/gcc/x86_64-linux-gnu/7/crtbeginS.o a29=-L/usr/lib/gcc/x86_64-linux-gnu/7 a30=-L/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu a31=-L/usr/lib/gcc/x86_64-linux-gnu/7/../../../../lib a32=-L/lib/x86_64-linux-gnu a33=-L/lib/../lib a34=-L/usr/lib/x86_64-linux-gnu a35=-L/usr/lib/../lib a36=-L/usr/lib/gcc/x86_64-linux-gnu/7/../../.. a37=/tmp/ccr9a4fi.o a38=-lstdc++ a39=-lm a40=-lgcc_s a41=-lgcc a42=-lc a43=-lgcc_s a44=-lgcc a45=/usr/lib/gcc/x86_64-linux-gnu/7/crtendS.o a46=/usr/lib/gcc/x86_64-linux-gnu/7/../../../x86_64-linux-gnu/crtn.o 
type=EXECVE msg=audit(2019年07月21日 10:41:15.275:8033) : argc=2 a0=make a1=clean 
type=EXECVE msg=audit(2019年07月21日 10:41:15.279:8138) : argc=2 a0=rm a1=main 
type=EXECVE msg=audit(2019年07月21日 10:41:28.632:8227) : argc=4 a0=ausearch a1=-i a2=-sc a3=execve

可以看出来,除了显而易见的makeg++rm命令外,还有cc1plusascollect2ld命令被执行过。

阻挡我们使用auditd最大的不利因素在于它需要root权限,作为普通用户,有没有方法呢?

strace

strace在我之前的博客中已经提到过了,是一个用来跟踪程序系统调用的工具。如果我们跟踪的系统调用是execve,就能得知程序启动过哪些子进程。

执行以下命令,其中-e用来指定需要跟踪的系统调用,-f表示我们需要对子进程也发起跟踪:

strace -e execve -f make
strace -e execve -f make clean

将输出结果过滤后,有以下内容:

execve("/usr/bin/make", ["make"], 0x7ffc75c3baa8 /* 65 vars */) = 0
[pid  3523] execve("/usr/bin/g++", ["g++", "-o", "main", "main.cpp"], 0x561d6e982060 /* 70 vars */) = 0
[pid  3524] execve("/usr/lib/gcc/x86_64-linux-gnu/7/cc1plus", ["/usr/lib/gcc/x86_64-linux-gnu/7/"..., "-quiet", "-imultiarch", "x86_64-linux-gnu", "-D_GNU_SOURCE", "main.cpp", "-quiet", "-dumpbase", "main.cpp", "-mtune=generic", "-march=x86-64", "-auxbase", "main", "-fstack-protector-strong", "-Wformat", "-Wformat-security", "-o", "/tmp/ccr71lJH.s"], 0x14506d0 /* 75 vars */) = 0
[pid  3525] execve("/usr/bin/as", ["as", "--64", "-o", "/tmp/ccsBGiqv.o", "/tmp/ccr71lJH.s"], 0x14506d0 /* 75 vars */) = 0
[pid  3526] execve("/usr/lib/gcc/x86_64-linux-gnu/7/collect2", ["/usr/lib/gcc/x86_64-linux-gnu/7/"..., "-plugin", "/usr/lib/gcc/x86_64-linux-gnu/7/"..., "-plugin-opt=/usr/lib/gcc/x86_64-"..., "-plugin-opt=-fresolution=/tmp/cc"..., "-plugin-opt=-pass-through=-lgcc_"..., "-plugin-opt=-pass-through=-lgcc", "-plugin-opt=-pass-through=-lc", "-plugin-opt=-pass-through=-lgcc_"..., "-plugin-opt=-pass-through=-lgcc", "--sysroot=/", "--build-id", "--eh-frame-hdr", "-m", "elf_x86_64", "--hash-style=gnu", "--as-needed", "-dynamic-linker", "/lib64/ld-linux-x86-64.so.2", "-pie", "-z", "now", "-z", "relro", "-o", "main", "/usr/lib/gcc/x86_64-linux-gnu/7/"..., "/usr/lib/gcc/x86_64-linux-gnu/7/"..., "/usr/lib/gcc/x86_64-linux-gnu/7/"..., "-L/usr/lib/gcc/x86_64-linux-gnu/"..., "-L/usr/lib/gcc/x86_64-linux-gnu/"..., "-L/usr/lib/gcc/x86_64-linux-gnu/"..., ...], 0x1450be0 /* 77 vars */) = 0
[pid  3527] execve("/usr/bin/ld", ["/usr/bin/ld", "-plugin", "/usr/lib/gcc/x86_64-linux-gnu/7/"..., "-plugin-opt=/usr/lib/gcc/x86_64-"..., "-plugin-opt=-fresolution=/tmp/cc"..., "-plugin-opt=-pass-through=-lgcc_"..., "-plugin-opt=-pass-through=-lgcc", "-plugin-opt=-pass-through=-lc", "-plugin-opt=-pass-through=-lgcc_"..., "-plugin-opt=-pass-through=-lgcc", "--sysroot=/", "--build-id", "--eh-frame-hdr", "-m", "elf_x86_64", "--hash-style=gnu", "--as-needed", "-dynamic-linker", "/lib64/ld-linux-x86-64.so.2", "-pie", "-z", "now", "-z", "relro", "-o", "main", "/usr/lib/gcc/x86_64-linux-gnu/7/"..., "/usr/lib/gcc/x86_64-linux-gnu/7/"..., "/usr/lib/gcc/x86_64-linux-gnu/7/"..., "-L/usr/lib/gcc/x86_64-linux-gnu/"..., "-L/usr/lib/gcc/x86_64-linux-gnu/"..., "-L/usr/lib/gcc/x86_64-linux-gnu/"..., ...], 0x7ffe13bbc388 /* 77 vars */) = 0
execve("/usr/bin/make", ["make", "clean"], 0x7ffc66153780 /* 65 vars */) = 0
[pid  3533] execve("/bin/rm", ["rm", "main"], 0x56437f262a90 /* 70 vars */) = 0

结果和使用auditd是一样的。

使用strace不需要root权限,这点非常好。

修改内核

可以在内核中forkexecve实现的函数中插入一些printk语句,也算是一种方法,不过实施起来条件比较苛刻。如果没有auditd可用,而你又监控系统范围内启动的所有进程,可以试一试这种方法。

上面就是我能想到的几种监控启动的子进程的方法,不知道各位读者还有什么高招,可以分享一下。

17、Linux 进程管理与简单 shell 脚本编写
a1b2c的博客
07-18 29
本文详细介绍了 Linux 系统中的进程管理方法,包括使用 `nice` 值调整进程优先级和通过 `cgroups` 控制进程资源使用。同时深入讲解了 shell 脚本的编写技巧,涵盖变量使用、特殊字符处理、算术运算、循环与条件语句的应用,并通过示例演示了如何创建实用的 shell 脚本。内容有助于提升 Linux 系统管理效率和自动化能力。
Shell:查看进程与对应的线程
风静如云的博客
11-09 1268
由该结构可以看出进程1671有3个线程:1673/1674/1679(线程的名字外面有花括号),而1713/2049/2026/3235则是进程1671的子进程。NLWP:改进程的线程总数。UID:启动进程的用户。PPID:父进程ID。
实例解析shell子进程(subshell )
热门推荐
星晨大海
06-21 3万+
通过实例,解析个人对shell子进程的一个了解,主要包括以下几个方面 1:什么是shell子进程 2:shell什么情况下会产生子进程 3:子进程的特点与注意事项 4:$变量$$在脚本里的意义,及如何得到子进程里的进程
linux 获取子进程,shell习题-获取子进程
weixin_36171481的博客
04-29 606
说明:本shell题目是一个网友在公众号中提问的,正好利用这个每日习题的机会拿出来让大家一起做一做。给出一个进程PID,打印出该进程下面的子进程以及子进程下面的所有子进程。(只需要考虑子进程子进程,再往深层次则不考虑)参考答案:#!/bin/bashread -p "please input a pid number: " pps -elf > /tmp/ps.logis_ppid(){a...
shell脚本实现监控shell脚本的执行流程及变量的值
weixin_30924239的博客
08-28 175
这篇文章主要介绍了shell脚本实现监控shell脚本的执行流程及变量的值本文使用shell完成对执行过程中条件语句中的变量的变化的监控和整个程序的执行流程的观察功能,需要的朋友可以参考下 很多时候,我们都会写shell程序来完成一些不用重复造轮子的时刻,但是,又因为shell语句中也会有函数,也会有变量,在运行后到底执行了哪些相关的操作,就需要对具体执行过程中的变量等可变的因素的监控,那么我们下...
linux shell 脚本子进程 等待子进程,Linux shell脚本中父子进程与变量的分析
weixin_34280468的博客
05-02 430
创建一个bash脚本 vim jincheng.sh#!/bin/bashecho "=================demo测试开始================================="echo "$demo"echo "=================demo测试结束================================="echoecho "当前脚本进程号为:$...
精选资源
Shell脚本中获取进程ID的方法
01-20
当我在执行shell脚本时,它会启动一个叫子shell进程。作为主shell子进程,子shellshell脚本中的命令作为批处理运行(因此称为“批处理进程”)。 在某些情况下,你也许想要知道运行中的子shell的PID。这个PID...
Shell脚本进阶:掌握异步多进程的艺术
最新发布
云端梦留白的博客
07-16 1714
在现代技术领域,深入理解操作系统的 内核机制对于每一个技术人来说都是至关重要的。Linux 操作系统以其卓越的性能和灵活性,成为了许多技术专家的首选平台。本文将深入探讨 Linux进程间通信的一种高效机制 —— FIFO 命名管道,以及如何结合文件描述符实现高效的 异步多进程脚本的制作。对于希望提升 脚本编写能力、优化系统资源利用的技术工作者而言,本文将提供 细致的洞见和实例理解。
Linux 进程终止 程序内调用其他可执行程序 创建进程 僵尸进程进程与信号(c++)
2301_76320385的博客
01-12 1245
进程如果处理了子进程退出的信息,内核就会释放这个数据结构,父进程如果没有处理子进程退出的信息,内核就不会释放这个数据结构,子进程进程编号将一直被占用。1)父进程复制自己,然后,父进程子进程分别执行不同的代码。这种用法在网络服务程序中很常见,父进程等待客户端的连接请求,当请求到达时,父进程调用 fork(),让子进程处理些请求,而父进程则继续等待下一个连接请求。在多进程的服务程序中,如果子进程收到退出信号,子进程自行退出,如果父进程收到退出信号,则应该先向全部的子进程发送退出信号,然后自己再退出。
Linux平台C++监控子进程程序
Lvnux的专栏
04-07 3208
1、问题描述有时候服务端程序会偶现异常停止,这个时候除了要查找程序的bug外,还有拉起程序以继续提供服务。目前为了方便,我们直接用shell脚本监控服务进程,这种方法比较简单,不再赘述。这里描述另一种方法:服务进程分离为主监控进程和子工作进程,主进程只负责监控子进程(停止、拉起子进程等),子进程负责对外提供服务。监控子进程程序,个人认为重点如下: 子进程收到终止信号后,完成自身善后工作,然后直接
linux 判断子进程,如何检测子Shell子进程
weixin_39844284的博客
04-30 405
上节我们说了子 Shell子进程的区别,这节就来看一下如何检测它们。我们都知道使用 $ 变量可以获取当前进程的 ID,我在父 Shell 和子 Shell 中都输出 $ 的值,只要它们不一样,不就是创建了一个新的进程吗?那我们就来试一下吧。[mozhiyan@localhost ~]$ echo $$ #父Shell PID3299[mozhiyan@localhost ~]$ (echo ...
shell编程:查看进程与杀死进程
fufufunny的博客
01-18 3323
本文为笔者曾经完成的操作系统作业,实现效果如下:用户输入一个数字,能够给出系统中以该数字为pid的进程详情,将详情输出到文件output.txt中,同时包含菜单选择与kill进程的功能。
linux查看shell内容,怎么查看Linux中的shell指南
weixin_31754209的博客
05-09 767
怎么查看Linux中的shell指南更新时间:2017/3/22 22:35:00浏览量:596手机版许多人都不知道自己的Linux系统使用的是哪种shell,下面小编就教你如何查看Linux系统中使用的shell的方法,一起来了解下吧。查看Linux中的shell指南的方法查看当前发行版可以使用的shell代码如下:[root@localhost ~]$ cat /etc/shells/...
查看当前shell的父shell和子shell
weixin_44083952的博客
11-15 563
【代码】查看当前shell的父shell和子shell
使用Audit审计服务排查linux终端异常关机问题
EbowTang的练习场
03-06 3399
目录 【基本信息】 【问题描述】 【定位过程】 1,整理规律如下 2,部署audit审计服务定位问题 3,定位后期 【问题原因】 【问题解决】 【问题小结】 附录 1,audit审计服务部署脚本及其安装包 2,配置软绘,软解,禁用power键 3,部署audit服务 4,audit审计日志与规则 我将本案例写成了文档案例,可参见阿里云盘链接下载阅读,凡是提及附件的地方本文均未粘贴,可下载文档来阅读: 「spaceos终端不符合预期关机问题」https://www.
Linux应急响应姿势浅谈
weixin_30835933的博客
09-25 1092
一、前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高; 网络同事 --> 监控发现某台服务器对外大量发包; .... 不要着急,喝一杯82年的美年达压压惊,希望本文可以对你有所帮助。 二、排查流程 0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务...
linux删除历史操作命令
kang123488的博客
03-10 1万+
   在linux系统里一旦操作了任何命令,都会被记录下来,可以通过history命令来查看历史命令,   查看手册可知history -c 便是清除历史命令,但是重新进入系统查看历史命令时,历史信息依然会存在,   那么history -c 只是清除当前shell的历史纪录,因为系统一般会把信息保存在一个文件中,只要文件中   内容没有改变,那么信息也不会变。linux中存放历史命令的文件是.b...
Linux与UNIX Shell编程指南:深入掌握Shell脚本开发
结合其描述“一个很不错的东西 对你了解linuxshell编程有一定的帮助”,以及子文件名《Linux与UNIX Shell编程指南》,表明该资料是一份系统性介绍Linux操作系统环境下的Shell脚本编程技术的权威学习材料。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值