私はAppArmor Complaint Modeのような複雑なツールを使用しません。
答え1
Chris Downによると、次のようにstrace -p確認できます。すでに実行中strace を終了するか、プロセス自体が完了するまでこれから開いているファイルを確認するプロセスです。
次のように見たい場合全期間最初からstrace実行可能ファイル名とともに使用されるプロセス名。追加すると、分岐し-fた子プロセスも報告されます。はい
# strace -e open -f /bin/id
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libselinux.so.1", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libpcre.so.1", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libdl.so.2", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libpthread.so.0", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/proc/thread-self/attr/current", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/proc/self/task/1581/attr/current", O_RDONLY|O_CLOEXEC) = 3
open("/usr/share/locale/locale.alias", O_RDONLY|O_CLOEXEC) = 3
open("/usr/share/locale/en_US.UTF-8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US.utf8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en.UTF-8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en.utf8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/etc/nsswitch.conf", O_RDONLY|O_CLOEXEC) = 3
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libnss_files.so.2", O_RDONLY|O_CLOEXEC) = 3
open("/etc/passwd", O_RDONLY|O_CLOEXEC) = 3
open("/etc/group", O_RDONLY|O_CLOEXEC) = 3
open("/etc/group", O_RDONLY|O_CLOEXEC) = 3
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
+++ exited with 0 +++
#
lsofプロセスにどのファイルがあるかを確認するために使用されます。今開いている
# lsof -p $(pidof NetworkManager)
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
NetworkMa 722 root cwd DIR 253,0 224 64 /
NetworkMa 722 root rtd DIR 253,0 224 64 /
NetworkMa 722 root txt REG 253,0 2618520 288243 /usr/sbin/NetworkManager
NetworkMa 722 root mem REG 253,0 27776 34560 /usr/lib64/libnss_dns-2.17.so
[...]
#
SystemTapがあれば、ホスト全体で開かれたファイルを監視できます。
[root@localhost tmp]# cat mon
#!/usr/bin/env stap
probe syscall.open { printf ("pid %d program %s opened %s\n", pid(), execname(), filename) }
# ./mon
pid 14813 program touch opened "/etc/ld.so.cache"
pid 14813 program touch opened "/lib64/libc.so.6"
pid 14813 program touch opened 0x7f7a8c6ec8d0
pid 14813 program touch opened "foo2"
[...]
#
答え2
opensnoop内部的にeBPFを使用するBCCでこれを使用できます。
# ./opensnoop -p 1576
PID COMM FD ERR PATH
1576 snmpd 11 0 /proc/sys/net/ipv6/conf/lo/forwarding
1576 snmpd 11 0 /proc/sys/net/ipv6/neigh/lo/base_reachable_time_ms
1576 snmpd 9 0 /proc/diskstats
1576 snmpd 9 0 /proc/stat
1576 snmpd 9 0 /proc/vmstat
[...]
straceこれは、システムコールを再起動せずにkprobeを使用するため、非常に効率的です。
strace(おそらくトレースプロセスの子プロセス)を使用してこれを行うこともできますが、これを行うには、-f次のようにシステムコールを再起動することがあります。道アプリケーションが少し遅くなります。
# strace -e open -p 15735
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/gconv/gconv-modules.cache", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/lib/gconv/gconv-modules", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/python2.7/site-packages", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 4
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/etc/localtime", O_RDONLY|O_CLOEXEC) = 8
[...]
strace [executable]必要に応じて、またはを使用してこの方法でアプリケーションを起動することもできますstrace -f [executable]。
答え3
アプリケーションが開くファイルを監視するために私のお気に入りのツールは強力な監視フレームワークですsysdig。
次のプログラムで開かれたすべての開かれたファイルを監視するために使用されますexe_file。
sudo sysdig -p "proc.name=exe_file %12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
サーバーで開いているすべてのファイルを監視します。
sudo sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
ホームディレクトリの書き込みイベントのみを含むトレースファイルを作成します。 (後で以下を使用して確認できますsysdig -r writetrace.scap.gz。
sudo sysdig -p "%user.name %proc.name %fd.name" "evt.type=write and fd.name contains /home/" -z -w writetrace.scap.gz
次のプロセスのシステムコールレベルでexe_fileすべてを表示します。
sudo sysdig proc.name=exe_file
Sysdigには多くのドラッグがあります。これでできることについてもっと面白いことを確認してください。
dtraceまた、Linuxではあまり使用されていませんが、* BSDオペレーティングシステムではまだ使用されていることがわかります。
# Files opened by process,
dtrace -n 'syscall::open*:entry { printf("%s %s",execname,copyinstr(arg0)); }'
sysdig、straceおよび他にも、プロセスからの呼び出し/受信信号/動的ライブラリ/システム呼び出しを記録/傍受することがdtraceあります。ltrace
ltrace終了するまで指定されたコマンドのみを実行するプログラムです。実行プロセスによって呼び出されたダイナミックライブラリ呼び出しとプロセスから受信した信号を傍受して記録します。プログラムが実行するシステムコールを傍受して印刷することもできます。
$ltrace exe_file
_libc_start_main(0x400624, 1, 0x7ffcb7b6d7c8, 0x400710 <unfinished ...>
time(0) = 1508018406
srand(0x59e288e6, 0x7ffcb7b6d7c8, 0x7ffcb7b6d7d8, 0) = 0
sprintf("mkdir -p -- '/opt/sms/AU/mo'", "mkdir -p -- '%s'", "/opt/sms/AU/mo") = 28
system("mkdir -p -- '/opt/sms/AU/mo'" <no return ...>
--- SIGCHLD (Child exited) ---
<... system resumed> ) = 0
rand(2, 0x7ffcb7b6d480, 0, 0x7f9d6d4622b0) = 0x2d8ddbe1
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo") = 29
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1) = 3
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo") = 29
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1) = 4
+++ exited (status 0) +++
プログラムが小さい場合は、逆アセンブリobjdump -d exe_fileまたは逆アセンブリ/逆コンパイルを使用して、Hopperプログラムが処理するすべてのファイルを確認することも検討できます。
詳細については、次を参照してください。Linuxバイナリが実行するタスクの理解
最初のアプローチでは、次のようにします。
strings exe_file
これは安価な方法であり、運が良ければ、一部のファイル名はASCIIモードのバイナリにのみ表示されることがあります。
関連する回答も参照してください真実はなぜそんなに偽ですか?
ディストリビューションがバイナリ/ファイルに付属している場合は、ディストリビューションのソースストアまたは実際のユーティリティの公式リポジトリからソースコードを取得することもできます。