web-dev-qa-db-ja.com

プログラムがアクセスするファイルを表示するツールはありますか?

AppArmorの不平モードのような複雑なツールを使うつもりはありません。特定のプログラムがどのファイルにアクセスしているのかを知るための簡単なツールが必要です。

12
Boll19

Chris Downによると、strace -pを使用してすでに実行中プロセスを調べ、straceを終了するかプロセス自体が終了するまでに、現在開いているファイルを確認できます。

プロセスの期間全体で開かれたファイルを最初から表示したい場合は、実行可能ファイル名を指定してstraceを使用します。 -fを追加すると、フォークされたサブプロセスも報告されます。例

# strace -e open -f /bin/id
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libselinux.so.1", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libpcre.so.1", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libdl.so.2", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libpthread.so.0", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/proc/thread-self/attr/current", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/proc/self/task/1581/attr/current", O_RDONLY|O_CLOEXEC) = 3
open("/usr/share/locale/locale.alias", O_RDONLY|O_CLOEXEC) = 3
open("/usr/share/locale/en_US.UTF-8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US.utf8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en.UTF-8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en.utf8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/etc/nsswitch.conf", O_RDONLY|O_CLOEXEC) = 3
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libnss_files.so.2", O_RDONLY|O_CLOEXEC) = 3
open("/etc/passwd", O_RDONLY|O_CLOEXEC) = 3
open("/etc/group", O_RDONLY|O_CLOEXEC)  = 3
open("/etc/group", O_RDONLY|O_CLOEXEC)  = 3
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
+++ exited with 0 +++
#

lsofを使用してプロセス現在が開いているファイルを確認する

# lsof -p $(pidof NetworkManager)
COMMAND   PID USER   FD      TYPE             DEVICE  SIZE/OFF     NODE NAME
NetworkMa 722 root  cwd       DIR              253,0       224       64 /
NetworkMa 722 root  rtd       DIR              253,0       224       64 /
NetworkMa 722 root  txt       REG              253,0   2618520   288243 /usr/sbin/NetworkManager
NetworkMa 722 root  mem       REG              253,0     27776    34560 /usr/lib64/libnss_dns-2.17.so
[...]
#

SystemTapを使用している場合は、開かれているファイルについてホスト全体を監視できます。

[root@localhost tmp]# cat mon
#!/usr/bin/env stap
probe syscall.open { printf ("pid %d program %s opened %s\n", pid(), execname(), filename) }
# ./mon
pid 14813 program touch opened "/etc/ld.so.cache"
pid 14813 program touch opened "/lib64/libc.so.6"
pid 14813 program touch opened 0x7f7a8c6ec8d0
pid 14813 program touch opened "foo2"
[...]
#
12
steve

内部でeBPFを使用するBCCのopensnoopを使用できます。

# ./opensnoop -p 1576
PID    COMM      FD ERR PATH
1576   snmpd     11   0 /proc/sys/net/ipv6/conf/lo/forwarding
1576   snmpd     11   0 /proc/sys/net/ipv6/neigh/lo/base_reachable_time_ms
1576   snmpd      9   0 /proc/diskstats
1576   snmpd      9   0 /proc/stat
1576   snmpd      9   0 /proc/vmstat
[...]

straceのようにシステムコールを再起動する必要がなく、kprobesを使用するため、これは非常に高性能です。

straceを使用してこれを行うこともできます(トレースプロセスの子を追跡するために-fを使用する可能性があります)。ただし、- ptrace の一部としてsyscallsを再起動するという操作方法アプリケーションを多少遅くします。

# strace -e open -p 15735
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/gconv/gconv-modules.cache", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/lib/gconv/gconv-modules", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/python2.7/site-packages", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 4
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/etc/localtime", O_RDONLY|O_CLOEXEC) = 8
[...]

必要に応じて、strace [executable]またはstrace -f [executable]を使用して、この方法でアプリケーションを起動することもできます。

5
Chris Down

アプリケーションが開くファイルを監視するための私のお気に入りのツールは、強力な監視フレームワークsysdigです。

exe_fileという名前のプログラムによって開かれたすべての開いているファイルを監視するには:

Sudo sysdig -p "proc.name=exe_file %12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open

サーバーで開かれているすべてのファイルを監視する:

Sudo sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open

ホームディレクトリの書き込みイベントのみが含まれるトレースファイルを作成します(後でsysdig -r writetrace.scap.gzで検査できます):

Sudo sysdig -p "%user.name %proc.name %fd.name" "evt.type=write and fd.name contains /home/" -z -w writetrace.scap.gz

Syscallレベルですべてを見ると、exe_fileという名前のプロセスが実行します。

Sudo sysdig proc.name=exe_file

Sysdigにはたくさんのノミがあります。

Linuxではあまり使用されないdtraceもありますが、* BSDオペレーティングシステムではまだ多く使用されています。

# Files opened by process,
dtrace -n 'syscall::open*:entry { printf("%s %s",execname,copyinstr(arg0)); }'

sysdigstrace、およびdtraceの他に、ltraceも取得しています。これは、信号/動的ライブラリ/システムコールを記録/インターセプトします。プロセス:

ltraceは、指定されたコマンドが終了するまで実行するプログラムです。実行されたプロセスによって呼び出される動的ライブラリ呼び出しと、そのプロセスによって受信されるシグナルを傍受して記録します。また、プログラムによって実行されるシステムコールを傍受して出力することもできます。

$ltrace exe_file
_libc_start_main(0x400624, 1, 0x7ffcb7b6d7c8, 0x400710 <unfinished ...>  
time(0)                                                                              = 1508018406  
srand(0x59e288e6, 0x7ffcb7b6d7c8, 0x7ffcb7b6d7d8, 0)                                 = 0  
sprintf("mkdir -p -- '/opt/sms/AU/mo'", "mkdir -p -- '%s'", "/opt/sms/AU/mo")        = 28  
system("mkdir -p -- '/opt/sms/AU/mo'" <no return ...>  
--- SIGCHLD (Child exited) ---  
<... system resumed> )                                                               = 0  
Rand(2, 0x7ffcb7b6d480, 0, 0x7f9d6d4622b0)                                           = 0x2d8ddbe1  
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo")      = 29  
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1)                              = 3  
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo")      = 29  
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1)                              = 4  
+++ exited (status 0) +++  

プログラムが小さい場合は、objdump -d exe_fileを使用して逆アセンブルするか、Hopperを使用して逆アセンブル/逆コンパイルして、処理するすべてのファイルを確認することもできます。

詳細については、次を参照してください。 Linuxバイナリの動作を理解する

最初のアプローチとして、次のことも行います。

strings exe_file

これは低コストのアプローチであり、運がよければいくつかのファイル名が運が良ければバイナリファイルのASCIIモードで存在するだけかもしれません。

関連する回答も参照してください なぜ真と偽がそれほど大きいのですか?

ディストリビューションに付属しているバイナリ/ファイルの場合、ディストリビューションのソースリポジトリまたは実際のユーティリティの公式リポジトリからソースを取得することもできます。

最後のリソースとして、常に gdb または rr のようなツールを使用して、リアルタイムでバイナリをデバッグできます。

5
Rui F Ribeiro