通过综🥗合采用用户【yòng hù】⏪级别的top、ps等系统【děng xì tǒng】🏈工具以及🐈Linux内核防【nèi hé fáng】护技术，我们可【wǒ men kě】以从用【yǐ cóng yòng】户⏪/内核两🙈个层次【gè céng cì】🍔全方位地保护【dì bǎo hù】Linux系统中【xì tǒng zhōng】重要系统进程以及🐈用户【yòng hù】⏪进程的安全❄性。

经典的【jīng diǎn de】🛰信息保🈺密性安全模型😫Bell-LaPadula模型指🎲出，进程是🗨整个计【zhěng gè jì】算机系【suàn jī xì】📆统的【tǒng de】♍一个主【yī gè zhǔ】体，它需要【tā xū yào】通😷过一定【guò yī dìng】的【de】♍安全等级来对【jí lái duì】客体发【kè tǐ fā】生作用🚗。进程在💅一定条件下可以对诸【yǐ duì zhū】如文件🍙、数据库【shù jù kù】等客体进行操【jìn háng cāo】作。如果进【rú guǒ jìn】程用作其他不【qí tā bú】法用途，将给系统🏟带来重大危害🖋。在现实【zài xiàn shí】生活当【shēng huó dāng】🌉中，许多网🍎络黑客都是通【dōu shì tōng】过种植【guò zhǒng zhí】“木马【mù mǎ】”的【de】♍办法来达到【dá dào】🅿破坏计❕算机系【suàn jī xì】📆统和入【tǒng hé rù】侵的目【qīn de mù】🏽的【de】♍，而这些🖲“木马【mù mǎ】”程序无【chéng xù wú】🎴一例外的是需【de shì xū】💤要通过进程这【jìn chéng zhè】一方式在机器上运行才能发【cái néng fā】挥作用🛢的【de】♍。另外【lìng wài】，许多破📕坏程序和攻击手段都需要通😷过破坏目标计算机系【suàn jī xì】📆统的【tǒng de】♍合法进程尤其是🍙重要系🌿统进程，使得系【shǐ dé xì】📋统不能【tǒng bú néng】完成正【wán chéng zhèng】🎁常的【de】工😑作甚至无法工作，从而达到【dá dào】摧毁目标计算机系【suàn jī xì】📆统的【tǒng de】目🏨的【de】♍。作为服务器中占绝大多数市【duō shù shì】🏢场份额✌的【de】♍Linux系统🏟，要切实👶保证计算机系【suàn jī xì】📆统的【tǒng de】♍安全，我们必须对其进程进【jìn chéng jìn】行监控和保护🎏。

用户级进程监控工具

Linux系统提【xì tǒng tí】供了【gòng le】😋who、w、ps和【hé】top等察看进程信息的系☔统调用，通过结✔合使用这些系统调用，我们可🤣以清晰地了解🚋进程的【jìn chéng de】运行状态以及存活情【cún huó qíng】🎯况【kuàng】🍷，从而采【cóng ér cǎi】⛑取相应的措施📱，来确保Linux系统的【xì tǒng de】安全【ān quán】。它们是💑目前在【mù qián zài】Linux下最常见的进🏇程状况【chéng zhuàng kuàng】🍷查看工具，它们是💑随【suí】Linux套件发行的，安装好【ān zhuāng hǎo】系统之🥡后，用户就可以使🍡用。

1、who命令：该命令【gāi mìng lìng】🌤主要用于查看当前在【dāng qián zài】🤝线上的【xiàn shàng de】用户情况🈂。系统管【xì tǒng guǎn】理员可🚬以使用【yǐ shǐ yòng】who命令监视每个登录的用户此时此刻的所作【de suǒ zuò】🍕所为🚆。

2、w命令【mìng lìng】🛴：该命令【gāi mìng lìng】🛴也用于【yě yòng yú】显示登录到系统🕣的用户情况【qíng kuàng】，但是与【dàn shì yǔ】who不同的是，w命令【mìng lìng】🛴功能更【gōng néng gèng】加强大【jiā qiáng dà】👂，它不但【tā bú dàn】可以显🚐示有谁登录到系统🕣，还可以显🚐示出这些用【xiē yòng】🕺户当前正在进🦕行的工😾作【zuò】，w命令【mìng lìng】🛴是who命令【mìng lìng】的😞一个增🍰强版。

3、ps命令【mìng lìng】👺：该命令【mìng lìng】👺是最基【shì zuì jī】💠本同时也是非常强大的进程【de jìn chéng】查看命令【mìng lìng】👺。利用【yòng】它可以确【kě yǐ què】定有哪🤹些进程🏚正在运【zhèng zài yùn】🙄行及运行的状态、进程是否结束、进程有🚲没有僵🌈死、哪些进【nǎ xiē jìn】🗞程占用【yòng】了过多👭的资源等。ps命令【mìng lìng】👺可以监控后台进程的【jìn chéng de】工【gōng】⛷作情况🧣，因为后台进程是不和🥌屏幕键【píng mù jiàn】🍦盘这些【pán zhè xiē】标准输入【rù】/输出设💬备进行🐅通信的【tōng xìn de】，如果需要检测其情况，可以使【kě yǐ shǐ】用【yòng】ps命令【mìng lìng】👺。

4、top命令👔：top命令和【mìng lìng hé】🎤ps命令的💅基本作用是相📜同的，显示系🚂统当前【tǒng dāng qián】🔵的进程【de jìn chéng】及其状态📉，但是top是一个【shì yī gè】📥动态显示过程，可以通【kě yǐ tōng】过用户按键来【àn jiàn lái】不断刷【bú duàn shuā】新当前🏷状态📉。如果在【rú guǒ zài】🔦前台执🏛行该命【háng gāi mìng】🎃令👔，它将独【tā jiāng dú】📜占前台，直到用户终止【hù zhōng zhǐ】该程序【xù】为止🕕。比较准确地说【què dì shuō】，top命令👔提供了实时的【shí shí de】对系统【duì xì tǒng】处理器的🦅状态监📃视。它可以【tā kě yǐ】🥄显示系🚂统中CPU最【zuì】“敏感”的任务列表【liè biǎo】。该命令👔可以按【kě yǐ àn】CPU使用、内存使用和执行时间【háng shí jiān】对任务进行排序【xù】，而且它🀄的很多特性都🕰可以通【kě yǐ tōng】过交互式命令👔或者在【huò zhě zài】个人定制文件🎻中进行设定。

需重点监控的一些进程

由上面的介绍🕣可知，Linux提供的【tí gòng de】这些命令都能🥠提供关🕦于进程【chéng】🛫的一些信息🚏，可以通【kě yǐ tōng】过它们查看系🗝统当前【tǒng dāng qián】的进程【chéng】🛫状况，也可以❤找出那🕛些占用【xiē zhàn yòng】了过多【le guò duō】系统资【xì tǒng zī】📼源的进【yuán de jìn】程【chéng】🛫并结束【bìng jié shù】该进程【chéng】🛫。它们的优点在于速度【yú sù dù】快，透明性好📲，直观明【zhí guān míng】了。下表给【xià biǎo gěi】出了【chū le】Linux系统中【xì tǒng zhōng】较为常【jiào wéi cháng】见的重要的进程【chéng】🛫(没有完全列出✂，用户可【yòng hù kě】🏀以参考🏮相应的🍴资料)，用户可【yòng hù kě】🏀以采用上述工🔋具来实时的监【shí de jiān】📻测这些重要进程【chéng】🛫的情况，并采取【bìng cǎi qǔ】相应的🍴防护措👴施。

系统调用存在缺点

我们上述所介🏫绍的进【shào de jìn】程监控方法和📫工具都是基于🚕调用操😵作系统给我们提供的相应的API接口函【jiē kǒu hán】🗝数或者系统调【xì tǒng diào】用来实现的。我们所👥得到的【dé dào de】只是接口函【jiē kǒu hán】🗝数处理后的结果【guǒ】，不能够【bú néng gòu】主动地🍾从操作系统内🅿核的进【hé de jìn】💗程数据【chéng shù jù】🥉结构当中获取我们需【wǒ men xū】要的信🥍息【xī】。因而【yīn ér】，它们具🤠有如下【yǒu rú xià】缺点：

1、传统的进程监【jìn chéng jiān】🛀控方法运行效率比较低📫，同时反【tóng shí fǎn】应时间🐤也比较【yě bǐ jiào】长，实时性⛓能差【néng chà】。

2、不能够【bú néng gòu】🕺实时、高效地向用户报告当🎱前系统🐞运行的安全状况【kuàng】🚩，就算系【jiù suàn xì】统中有不法进🚧程在运行，系统也【xì tǒng yě】🔕不能识【bú néng shí】别出来【bié chū lái】。

3、不能给用户捕【yòng hù bǔ】✴捉不法🐡进程的🐐行为提供证据【gòng zhèng jù】🔈和进程【hé jìn chéng】🖖的活动✋轨迹。当一个🛃不法进【bú fǎ jìn】程运行【chéng yùn háng】并对系统【tǒng】➗产生破坏【huài】时🍵，用户即使通过察看进程列表找到了【zhǎo dào le】不合法🖖的进程【de jìn chéng】，也不清【yě bú qīng】楚到底【chǔ dào dǐ】从进程开始运⭕行直到【háng zhí dào】🍷捕捉到这样一【zhè yàng yī】㊙个不法【gè bú fǎ】进程这样一【zhè yàng yī】㊙段时间内，进程都🤙对系统【tǒng】➗造成了哪些破🍤坏【huài】，比如说，访问【fǎng wèn】、修改了哪些重🏣要的系统【tǒng】文件，占用了哪些系统【tǒng】资源等等。这些都给以后的恢复【de huī fù】和处理🈴工作带来了很大的问题【tí】。

4、执行程【chéng】序工作在用户态【tài】，本身就不安全【bú ān quán】，入侵系统♌的【de】⛏黑客可以【yǐ】⏲轻松地找到这👇些进程【chéng】监🕍控程【chéng】序的【de】磁🎾盘映像【pán yìng xiàng】，进行删🆖除甚至替换，从而会🚃给系统【gěi xì tǒng】带来不😙可估量的【de】⛏损失。这一点尤其需要强调【yào qiáng diào】💒，比如说🧗，黑客入🏇侵系统♌成功♿，就可以【yǐ】♿植入他们所改【men suǒ gǎi】写的【de】⛏ps程【chéng】序以【yǐ】🏿替换原来系统的【de】⛏ps程【chéng】序，这样就🖍使得用🖋户不能【hù bú néng】通过该【tōng guò gāi】工具得知系统【zhī xì tǒng】中当前运行的【yùn háng de】⛏不法进【bú fǎ jìn】程【chéng】，这样无👀论黑客如何植【rú hé zhí】入木马或者其他程【chéng】序💩，用户都【yòng hù dōu】💓无法知【wú fǎ zhī】道，从而无🔎法采取【fǎ cǎi qǔ】措施终【cuò shī zhōng】止这些行为【háng wéi】。不言而喻，这样的【de】🚎后果是很严重【hěn yán chóng】的【de】⛏。而在我们下面所要介📍绍的【de】⛏一种运行于内核的【de】⛏进程【chéng】监🕍控程【chéng】序当中🍼，黑客根【hēi kè gēn】🏏本无法【běn wú fǎ】或者很💌难深入【nán shēn rù】🌇内核来【nèi hé lái】📛破坏该【pò huài gāi】进程【chéng】监🕍控程【chéng】序，从而使其能够【qí néng gòu】很好地保证自身的【de】⛏安全【ān quán】。

基于上🏗述种种【shù zhǒng zhǒng】🐾不足【bú zú】，我们提【wǒ men tí】🤬出了在【chū le zài】Linux内核中实现进程实时监控的🛎原理和技术【jì shù】。该技术【jì shù】主要分为以下几个步骤💑：

首先，在🥁“干净【gàn jìng】”的系统环境下【huán jìng xià】🐾，全面地【quán miàn dì】运行系统中的安全进【ān quán jìn】🌂程，分析和搜集【sōu jí】Linux环境下【huán jìng xià】🐾这些进【zhè xiē jìn】😎程的相关信息🐼(包括进【bāo kuò jìn】🚞程ID号⏳、进程名🚺称【chēng】、进程可执行映像、进程的【jìn chéng de】开始时🏜间、进程的【jìn chéng de】父进程⛎等主要【děng zhǔ yào】信息🐼)，形成一张🔠“系统安全进【ān quán jìn】🌂程列表【chéng liè biǎo】”，作为进程监控的依据。

接着🦄，监控代码在进【mǎ zài jìn】程【chéng】调度🐌过程中【guò chéng zhōng】🕺实时地搜集系统中运行进程【jìn chéng】的【de】📇信息【xìn xī】。如果发现进程【xiàn jìn chéng】不在 “系统安【xì tǒng ān】🔰全进程【jìn chéng】📌列表”当中，则马上【zé mǎ shàng】🛌通过终端输出👍该进程【jìn chéng】🍵的【de】📇PID号、名称、进程【jìn chéng】的【de】📇可执行💺映像等【yìng xiàng děng】🍺信息【xìn xī】，或者通【huò zhě tōng】过声音向用户【xiàng yòng hù】报警【bào jǐng】，等待用💠户处理【hù chù lǐ】，在这个等待的【děng dài de】📇过程中【guò chéng zhōng】🕺，终止调✉度该进🤰程【chéng】，直到用户做出响应(放行该进程【jìn chéng】🍵或者杀死该进程【jìn chéng】🍵)。

在第二步当中，如果超🧔级用户【jí yòng hù】(系统管理员【lǐ yuán】)放行了该进程，则可以将该进程加入“系统安全进程🎰列表【liè biǎo】🎏”，以完善💙该列表【gāi liè biǎo】🎏;如果是🌙一般用户【yòng hù】在使用过程🔂当中放⤴行了某个进程，那么【nà me】，需要将该用户【yòng hù】🈳的用户【yòng hù】名和身【míng hé shēn】份记录下来【lù xià lái】💴，并且将【bìng qiě jiāng】放行的🎤进程记录下来【lù xià lái】💴存为日志，那么【nà me】，当超级用户【jí yòng hù】(系统管理员【lǐ yuán】)无论是【wú lùn shì】在审核🏡用户【yòng hù】行🌗为还是🍀在修改🚛“系统安全进程🎰列表【liè biǎo】🎏”时【shí】，都是一【dōu shì yī】🎻个有力【gè yǒu lì】的依据【de yī jù】🍒。

另外✴，在系统运行过程当中【chéng dāng zhōng】，如果发现【xiàn】“系统安全进程列表”当中的【dāng zhōng de】💧某些重🔭要的进程 (包括【bāo kuò】kswapd、bdflush等🏧)不在运行，则马上【zé mǎ shàng】将该进程“遗失”的信息【de xìn xī】存入文【cún rù wén】🐧件📰，以备在👵系统的恢复过🏉程当中【chéng dāng zhōng】，对它们【duì tā men】🆕进行针对性的【duì xìng de】恢复👪，根据不【gēn jù bú】同的情⚓况【kuàng】，有的需要马上👼停机，恢复进⬜程，有的则【yǒu de zé】可以现【kě yǐ xiàn】场恢复👪。