攔截linux系統(tǒng)命令 linux關(guān)閉監(jiān)聽命令

linux如何攔截黑名單進(jìn)程執(zhí)行危險(xiǎn)命令

Linux進(jìn)程間通信由以下幾部分發(fā)展而來：

目前創(chuàng)新互聯(lián)已為超過千家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、成都網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計(jì)、白云網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

早期UNIX進(jìn)程間通信：包括管道、FIFO、信號。

基于System V的進(jìn)程間通信：包括System V消息隊(duì)列、System V信號燈（Semaphore）、System V共享內(nèi)存。

基于Socket進(jìn)程間通信。

基于POSIX進(jìn)程間通信：包括POSIX消息隊(duì)列、POSIX信號燈、POSIX共享內(nèi)存。

Linux中，與IPC相關(guān)的命令包括：ipcs、ipcrm（釋放IPC）、

IPCS命令是Linux下顯示進(jìn)程間通信設(shè)施狀態(tài)的工具。我們知道，系統(tǒng)進(jìn)行進(jìn)程間通信（IPC）的時候，可用的方式包括信號量、共享內(nèi)存、消息隊(duì)列、管道、信號（signal）、套接字等形式[2]。使用IPCS可以查看共享內(nèi)存、信號量、消息隊(duì)列的狀態(tài)。

例如在CentOS6.0上執(zhí)行ipcs

具體的用法總結(jié)如下：

1、顯示所有的IPC設(shè)施

# ipcs -a

2、顯示所有的消息隊(duì)列Message Queue

# ipcs -q

3、顯示所有的信號量

# ipcs -s

4、顯示所有的共享內(nèi)存

# ipcs -m

5、顯示IPC設(shè)施的詳細(xì)信息

# ipcs -q -i id

id 對應(yīng)shmid、semid、msgid等。-q對應(yīng)設(shè)施的類型（隊(duì)列），查看信號量詳細(xì)情況使用-s，查看共享內(nèi)存使用-m。

6、顯示IPC設(shè)施的限制大小

# ipcs -m -l

-m對應(yīng)設(shè)施類型，可選參數(shù)包括-q、-m、-s。

7、顯示IPC設(shè)施的權(quán)限關(guān)系

# ipcs -c

# ipcs -m -c

# ipcs -q -c

# ipcs -s -c

8、顯示最近訪問過IPC設(shè)施的進(jìn)程ID。

# ipcs -p

# ipcs -m -p

# ipcs -q -p

9、顯示IPC設(shè)施的最后操作時間

# ipcs -t

# ipcs -q -t

# ipcs -m -t

# ipcs -s -t

10、顯示IPC設(shè)施的當(dāng)前狀態(tài)

# ipcs -u

Linux上的ipcs命令，不支持UNIX上的-b、-o指令，同樣UNIX中不支持-l、-u指令，所以在編寫跨平臺的腳本時，需要注意這個問題。

如何利用Ptrace攔截和模擬Linux系統(tǒng)調(diào)用

這里的“攔截”我指的是tracer能夠改變系統(tǒng)調(diào)用參數(shù)，改變系統(tǒng)調(diào)用的返回值，甚至屏蔽特定的系統(tǒng)調(diào)用。這也就意味著，一個tracer將能夠完全實(shí)現(xiàn)自己的系統(tǒng)調(diào)用，這就非常有趣了，也就是說，一個tracer將可以模擬出一整套操作系統(tǒng)機(jī)制，而且這一切都不需要內(nèi)核提供任何其他幫助。

但問題在于，一個進(jìn)程一次只能夠綁定一個tracer，因此我們無法在調(diào)試進(jìn)程（GDB）的過程中模擬出一套外部操作系統(tǒng)，而另一個問題就是模擬系統(tǒng)調(diào)用將耗費(fèi)更多的資源開銷。

在這篇文章中，我將主要討論x86-64架構(gòu)下的Linux Ptrace，并且我還會使用到一些特定的Linux擴(kuò)展。除此之外，我可能會忽略錯誤檢查，但最終發(fā)布的完整源碼將會解決這些問題。

如何 阻擋 linux 未授權(quán) 命令

linux在創(chuàng)建用戶是將用戶默認(rèn)的shell指定為/sbin/nologin即可阻止用戶登錄，命令為

useradd user -s /sbin/nologin,其中-s指定用戶的默認(rèn)shell

如果用戶已經(jīng)存在于系統(tǒng)，用root身份修改/etc/passwd文件，將要阻止的用戶的shell改為/sbin/nologin,如下所示

user:x:502:502::/home/user:/sbin/nologin

關(guān)于Linux命令的介紹，看看《linux就該這么學(xué)》，具體關(guān)于這一章地址3w(dot)linuxprobe/chapter-02(dot)html.

LINUX對shell命令的攔截

樓主，shell 接收到一個 非內(nèi)部命令 （如 ls, find）時，不是把命令提交給內(nèi)核的，這個概念是錯誤的。 shell 應(yīng)該是 fork 出一個進(jìn)程，這個子進(jìn)程調(diào)用 exec* 系列系統(tǒng)調(diào)用 (比如 execlp 等）來載入ls, find等可執(zhí)行程序執(zhí)行， 而此時的shell進(jìn)程本身會 通過 wait 系統(tǒng)調(diào)用等待子進(jìn)程完成。

由上可見，一個進(jìn)行攔截的地方可以放在 exec 系列調(diào)用中，exec是實(shí)現(xiàn)在 glibc 里的，所以你只要下載 glibc （或者你們系統(tǒng)使用的 libc ）的源碼，在 exec 調(diào)用中加入你的攔截代碼。 編譯修改后的glibc，替換系統(tǒng)中的glibc即可。

另外要注意的是，除了shell，其他程序也可能使用 fork+exec 來執(zhí)行某些命令，如果不想攔截這種情況，在攔截時需判斷一下當(dāng)前進(jìn)程的父或祖進(jìn)程，看看是否是shell進(jìn)程。

最后，glibc實(shí)在是太重要了，是所有程序的基礎(chǔ)，改動需小心。

網(wǎng)頁名稱：攔截linux系統(tǒng)命令 linux關(guān)閉監(jiān)聽命令
文章URL：http://www.jbt999.com/article46/hjjoeg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、全網(wǎng)營銷推廣、企業(yè)網(wǎng)站制作、ChatGPT、標(biāo)簽優(yōu)化、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：[email protected]。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)