AppArmorの不平モードのような複雑なツールを使うつもりはありません。特定のプログラムがどのファイルにアクセスしているのかを知るための簡単なツールが必要です。
Chris Downによると、strace -p
を使用してすでに実行中プロセスを調べ、straceを終了するかプロセス自体が終了するまでに、現在開いているファイルを確認できます。
プロセスの期間全体で開かれたファイルを最初から表示したい場合は、実行可能ファイル名を指定してstrace
を使用します。 -f
を追加すると、フォークされたサブプロセスも報告されます。例
# strace -e open -f /bin/id
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libselinux.so.1", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libpcre.so.1", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libdl.so.2", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libpthread.so.0", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/proc/thread-self/attr/current", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/proc/self/task/1581/attr/current", O_RDONLY|O_CLOEXEC) = 3
open("/usr/share/locale/locale.alias", O_RDONLY|O_CLOEXEC) = 3
open("/usr/share/locale/en_US.UTF-8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US.utf8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en.UTF-8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en.utf8/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en/LC_MESSAGES/coreutils.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/etc/nsswitch.conf", O_RDONLY|O_CLOEXEC) = 3
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libnss_files.so.2", O_RDONLY|O_CLOEXEC) = 3
open("/etc/passwd", O_RDONLY|O_CLOEXEC) = 3
open("/etc/group", O_RDONLY|O_CLOEXEC) = 3
open("/etc/group", O_RDONLY|O_CLOEXEC) = 3
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
+++ exited with 0 +++
#
lsof
を使用してプロセス現在が開いているファイルを確認する
# lsof -p $(pidof NetworkManager)
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
NetworkMa 722 root cwd DIR 253,0 224 64 /
NetworkMa 722 root rtd DIR 253,0 224 64 /
NetworkMa 722 root txt REG 253,0 2618520 288243 /usr/sbin/NetworkManager
NetworkMa 722 root mem REG 253,0 27776 34560 /usr/lib64/libnss_dns-2.17.so
[...]
#
SystemTapを使用している場合は、開かれているファイルについてホスト全体を監視できます。
[root@localhost tmp]# cat mon
#!/usr/bin/env stap
probe syscall.open { printf ("pid %d program %s opened %s\n", pid(), execname(), filename) }
# ./mon
pid 14813 program touch opened "/etc/ld.so.cache"
pid 14813 program touch opened "/lib64/libc.so.6"
pid 14813 program touch opened 0x7f7a8c6ec8d0
pid 14813 program touch opened "foo2"
[...]
#
内部でeBPFを使用するBCCのopensnoop
を使用できます。
# ./opensnoop -p 1576
PID COMM FD ERR PATH
1576 snmpd 11 0 /proc/sys/net/ipv6/conf/lo/forwarding
1576 snmpd 11 0 /proc/sys/net/ipv6/neigh/lo/base_reachable_time_ms
1576 snmpd 9 0 /proc/diskstats
1576 snmpd 9 0 /proc/stat
1576 snmpd 9 0 /proc/vmstat
[...]
strace
のようにシステムコールを再起動する必要がなく、kprobesを使用するため、これは非常に高性能です。
strace
を使用してこれを行うこともできます(トレースプロセスの子を追跡するために-f
を使用する可能性があります)。ただし、- ptrace の一部としてsyscallsを再起動するという操作方法アプリケーションを多少遅くします。
# strace -e open -p 15735
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/gconv/gconv-modules.cache", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/lib/gconv/gconv-modules", O_RDONLY|O_CLOEXEC) = 3
open("/usr/lib/python2.7/site-packages", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 4
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
open("/etc/localtime", O_RDONLY|O_CLOEXEC) = 8
[...]
必要に応じて、strace [executable]
またはstrace -f [executable]
を使用して、この方法でアプリケーションを起動することもできます。
アプリケーションが開くファイルを監視するための私のお気に入りのツールは、強力な監視フレームワークsysdig
です。
exe_file
という名前のプログラムによって開かれたすべての開いているファイルを監視するには:
Sudo sysdig -p "proc.name=exe_file %12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
サーバーで開かれているすべてのファイルを監視する:
Sudo sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
ホームディレクトリの書き込みイベントのみが含まれるトレースファイルを作成します(後でsysdig -r writetrace.scap.gz
で検査できます):
Sudo sysdig -p "%user.name %proc.name %fd.name" "evt.type=write and fd.name contains /home/" -z -w writetrace.scap.gz
Syscallレベルですべてを見ると、exe_file
という名前のプロセスが実行します。
Sudo sysdig proc.name=exe_file
Sysdigにはたくさんのノミがあります。
Linuxではあまり使用されないdtrace
もありますが、* BSDオペレーティングシステムではまだ多く使用されています。
# Files opened by process,
dtrace -n 'syscall::open*:entry { printf("%s %s",execname,copyinstr(arg0)); }'
sysdig
、strace
、およびdtrace
の他に、ltrace
も取得しています。これは、信号/動的ライブラリ/システムコールを記録/インターセプトします。プロセス:
ltrace
は、指定されたコマンドが終了するまで実行するプログラムです。実行されたプロセスによって呼び出される動的ライブラリ呼び出しと、そのプロセスによって受信されるシグナルを傍受して記録します。また、プログラムによって実行されるシステムコールを傍受して出力することもできます。
$ltrace exe_file
_libc_start_main(0x400624, 1, 0x7ffcb7b6d7c8, 0x400710 <unfinished ...>
time(0) = 1508018406
srand(0x59e288e6, 0x7ffcb7b6d7c8, 0x7ffcb7b6d7d8, 0) = 0
sprintf("mkdir -p -- '/opt/sms/AU/mo'", "mkdir -p -- '%s'", "/opt/sms/AU/mo") = 28
system("mkdir -p -- '/opt/sms/AU/mo'" <no return ...>
--- SIGCHLD (Child exited) ---
<... system resumed> ) = 0
Rand(2, 0x7ffcb7b6d480, 0, 0x7f9d6d4622b0) = 0x2d8ddbe1
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo") = 29
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1) = 3
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo") = 29
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1) = 4
+++ exited (status 0) +++
プログラムが小さい場合は、objdump -d exe_file
を使用して逆アセンブルするか、Hopper
を使用して逆アセンブル/逆コンパイルして、処理するすべてのファイルを確認することもできます。
詳細については、次を参照してください。 Linuxバイナリの動作を理解する
最初のアプローチとして、次のことも行います。
strings exe_file
これは低コストのアプローチであり、運がよければいくつかのファイル名が運が良ければバイナリファイルのASCIIモードで存在するだけかもしれません。
関連する回答も参照してください なぜ真と偽がそれほど大きいのですか?
ディストリビューションに付属しているバイナリ/ファイルの場合、ディストリビューションのソースリポジトリまたは実際のユーティリティの公式リポジトリからソースを取得することもできます。