Доброго времени суток.
Задача в том, чтобы отправлять в log информацию о запуске процессов/программ.
Решение, чтобы периодически дергать ps или еще что-нибудь не подходит (программа может отработать в течение периода и отключиться).
Выдает ли система что-нибудь при старте процесса, что можно отловить в цикле и уже тогда отправить в журнал информацию?
Если да, то что делает система и как это отловить?
Спасибо.
Система создаёт каталог /proc/PID и файлы с подкаталогами в нём, в которых содержится вся инфа о процессе. Но отследить это событие с помощью inotify не получится. Можно попробовать наложить на ядро один из патчей упомянутых тут: http://honeyman.livejournal.com/50966.htmlПравда они все давно заброшены, так что наверняка придётся их самим дорабатывать.
спасибо за быстрый ответ. Посмотрю эти патчи.
А зачем это? В шпионаже итп почти бесполезно, а для отладки есть средства вроде strace...
>А зачем это? В шпионаже итп почти бесполезно, а для отладки есть
>средства вроде strace...итп - это что-то инженерно техническое? Ну, в общем случае, пусть работает компьютер. Допустим, что кто-то внедрил туда свою закладку и она запускается в определенный момент времени. Как это сделать незаметно - другой вопрос. Я хочу хотя бы представлять, какие именно процессы запускаются, пока я не наблюдаю за системой.
>итп - это что-то инженерно техническое?итп это "и тому подобное". Могу еще добавить в копилку знаний итд - "и так далее". Впервые встречаю взрослого человека, который этого не знает.
> Ну, в общем случае, пусть работает
>компьютер. Допустим, что кто-то внедрил туда свою закладку и она запускается
>в определенный момент времени. Как это сделать незаметно - другой вопрос.
>Я хочу хотя бы представлять, какие именно процессы запускаются, пока я
>не наблюдаю за системой.Не пытайся перемудрить взломщиков, не имея достаточного уровня знаний. Воспользуйся chkrootkit сотоварищи.
А мне кажется что такая возможность в системе была бы полезна. Да просто для того же аудита. Вон, в соседней ветке у человека фря перезагружается ровно в 10 вечера и он понять не может в чём дело.
>Доброго времени суток.
>Задача в том, чтобы отправлять в log информацию о запуске процессов/программ.
>Решение, чтобы периодически дергать ps или еще что-нибудь не подходит (программа может
>отработать в течение периода и отключиться).
>Выдает ли система что-нибудь при старте процесса, что можно отловить в цикле
>и уже тогда отправить в журнал информацию?
>Если да, то что делает система и как это отловить?
>Спасибо.ОС какая?
>ОС какая?Fedora10
>>ОС какая?
>
>Fedora10auditd от RedHat
>auditd от RedHatСпасибо. Постараюсь разобраться.
>Доброго времени суток.
>Задача в том, чтобы отправлять в log информацию о запуске процессов/программ.
>Решение, чтобы периодически дергать ps или еще что-нибудь не подходит (программа может
>отработать в течение периода и отключиться).
>Выдает ли система что-нибудь при старте процесса, что можно отловить в цикле
>и уже тогда отправить в журнал информацию?
>Если да, то что делает система и как это отловить?
>Спасибо.Ессть такая штука как dazuko (используется в некоторых антивирусах), с ее помощью можно отслеживать доступ к файлам и папкам. Но это всего лишь модуль, который предаставляет определенный интерфейс. Хотя вроде как с ним идет программка для тестирования работы этого модуля, которая пишет инфу в лог при доступе к файлам в определенной директории.
http://dazuko.dnsalias.org/wiki/index.php/Main_Page
>Ессть такая штука как dazuko (используется в некоторых антивирусах), с ее помощью
>можно отслеживать доступ к файлам и папкам. Но это всего лишь
>модуль, который предаставляет определенный интерфейс. Хотя вроде как с ним идет
>программка для тестирования работы этого модуля, которая пишет инфу в лог
>при доступе к файлам в определенной директории.
>http://dazuko.dnsalias.org/wiki/index.php/Main_PageСпасибо. Дайте только время на переваривание всей инфы.
Остановился в итоге на auditd.
Для журналирования запуска программ и процессов, я так понимаю, требуется задать правила для отслеживания системных вызовов fork, vfork, clone, execev, kill (для завершения).
Спасибо всем участникам ветки. Вы мне очень помогли.