linux操作系统调用中的问题及对策
Linux进程监控方法和工具基于调用操作系统提供给我们的相应API接口函数或系统调优,我们得到的是接口函数处理后的结果,我们不能从操作系统内核的进程数据结构中获得所需的信息。因此,他们有以下问题:
1。传统的过程监控方法效率低,反应时间长,实时性差。
2,它不能实时地、高效地向用户报告当前系统的安全状态。即使系统中存在非法进程,系统也无法识别。
3,它不能提供用户捕捉违法过程的证据和课程活动。当一个非法的操作过程,对系统的损害,即使通过观察进程列表用户发现违法的过程,也不知道从正在运行的进程直到捕获这样的违法过程的这样一个时期的时间,例如引起损害,系统过程中,访问和修改重要的系统文件是什么,它占用系统资源等。所有这些都对未来的回收和处理带来了很大的问题。
4,在用户状态中执行程序本身并不安全。入侵系统的黑客可以轻松地找到这些过程监控的磁盘镜像,删除或替换它们,这将会给系统带来不可估量的损失。这是特别强调的,例如,黑客入侵系统成功,可以通过重写系统代替原来的PS程序嵌入在他们的PS程序,以便用户可以不通过,目前在系统中运行的非法进程的工具,所以不管黑客植入木马病毒或其他程序,用户可以知道,因此,无法采取措施制止这些行为。不言而喻,后果是非常严重的。在这个过程中,程序运行在内核中,我们要下面介绍监测,黑客无法深入到科核心破坏过程的监控程序,使它能很好地保证自己的安全。
基于以上缺陷,提出了在linux内核中实现进程实时监控的原理和技术,主要分为以下几个步骤:
首先,在干净;环境;在系统综合安全操作流程,以及相关信息的Linux进程的环境下采集分析(包括进程ID,进程名、进程的可执行映像,过程的开始时间,对父进程和其他主要信息的过程),一个普通的形成;系统安全进程列表为基础,过程监控。
其次,监控代码收集运行过程中系统信息实时进程调度过程,如果过程中没有发现安全系统进程列表,;然后立即经由过程PID号、名称、进程的可执行映像和其他信息输出端,或通过语音报警给用户,对于用户来说,在等待的过程中,调度进程终止,直到用户响应(释放过程或杀死进程)。
在第二步,如果超级用户(管理员)发布该进程,进程可以添加到系统安全进程列表中,以便改进列表;如果一般用户发布一个进程,则使用该过程要求用户的用户名和身份记录。并且把发布过程记录为日志,然后,当超级用户(系统管理员)在审核用户行为或者在修改系统安全性的过程列表时,这是一个很强的基础。
另外,在系统运行过程中,如果发现系统安全;进程列表;一些重要的过程(包括kswapd,数据,等)不在运行,它将立即失去过程文件中存储的信息,在系统恢复过程中,他们为恢复,根据不同的情况,有的需要立即停机,关闭回收过程中,其他人可以还原现场。