在企業(yè)級(jí)的Linux應(yīng)用中，進(jìn)程是整個(gè)計(jì)算機(jī)系統(tǒng)的一個(gè)主體，它需要通過(guò)一定的安全等級(jí)來(lái)對(duì)客體（包括系統(tǒng)中的文件、數(shù)據(jù)、設(shè)備等）發(fā)生作用。進(jìn)程在一定條件下可以對(duì)諸如文件、數(shù)據(jù)庫(kù)等客體進(jìn)行操作。如果進(jìn)程用作其他不法用途，將給系統(tǒng)帶來(lái)重大危害。在當(dāng)前形形色色的面向Linux系統(tǒng)的攻擊中，許多網(wǎng)絡(luò)黑客都是通過(guò)種植“木馬”的辦法來(lái)達(dá)到破壞計(jì)算機(jī)系統(tǒng)和入侵的目的，而這些“木馬”程序無(wú)一例外的是需要通過(guò)進(jìn)程這一方式在系統(tǒng)中運(yùn)行才能發(fā)揮作用的。

作為服務(wù)器中占絕大多數(shù)市場(chǎng)份額的Linux系統(tǒng)，要切實(shí)保證計(jì)算機(jī)系統(tǒng)的安全，我們必須對(duì)其進(jìn)程進(jìn)行安全管理。

Linux進(jìn)程管理的方法主要包括：（1）確定并綜合分析系統(tǒng)中當(dāng)前運(yùn)行進(jìn)程的狀態(tài)及信息，包括內(nèi)存、CPU、執(zhí)行用戶身份、進(jìn)程ID等，以確定其是否合法以及狀態(tài)是否正常；（2）事先限制進(jìn)程所占用的系統(tǒng)資源，如文件系統(tǒng)資源和派生進(jìn)程數(shù)目等，以合理控制進(jìn)程的運(yùn)行狀況。下面將對(duì)這些手段進(jìn)行詳細(xì)介紹。

一、管理手段一：使用基本命令進(jìn)行進(jìn)程查看

傳統(tǒng)的方法可以通過(guò)Linux系統(tǒng)的一些基本命令進(jìn)行Linux系統(tǒng)的進(jìn)程查看和分析。Linux系統(tǒng)提供了who、w、ps和top等察看進(jìn)程信息的系統(tǒng)調(diào)用，安全工作者可以通過(guò)結(jié)合使用這些系統(tǒng)調(diào)用，清晰地了解進(jìn)程的運(yùn)行狀態(tài)以及存活情況，從而采取相應(yīng)的措施，來(lái)確保Linux系統(tǒng)的安全。

其中，who命令主要用于查看當(dāng)前在線上的用戶情況。系統(tǒng)管理員可以使用who命令監(jiān)視每個(gè)登錄的用戶此時(shí)此刻的所作所為；w命令也用于顯示登錄到系統(tǒng)的用戶情況，但是與who不同的是，w命令功能更加強(qiáng)大，它不但可以顯示有誰(shuí)登錄到系統(tǒng)，還可以顯示出這些用戶當(dāng)前正在進(jìn)行的工作，w命令是who命令的一個(gè)增強(qiáng)版；ps和top命令則是最基本同時(shí)也是非常強(qiáng)大的進(jìn)程查看命令。使用這些命令可以動(dòng)態(tài)和靜態(tài)地確定有哪些進(jìn)程正在運(yùn)行和運(yùn)行的狀態(tài)、進(jìn)程是否結(jié)束、進(jìn)程有沒(méi)有僵死、哪些進(jìn)程占用了過(guò)多的資源等等。

舉個(gè)例子，黑客在入侵系統(tǒng)后通過(guò)植入一些系統(tǒng)本沒(méi)有的非法進(jìn)程來(lái)留作“后門”，以達(dá)到下次使用該系統(tǒng)資源或者利用該系統(tǒng)作為“肉雞”發(fā)動(dòng)拒絕服務(wù)等來(lái)攻擊其他目標(biāo)主機(jī)的目的，而我們就可以結(jié)合上述命令來(lái)找出異常進(jìn)程。

二、管理手段二：使用進(jìn)程文件系統(tǒng)進(jìn)行管理

管理手段一中所使用的命令行方式對(duì)Linux系統(tǒng)中的進(jìn)程管理比較粗略和不全面，如果要進(jìn)行全面地管理，可以借助進(jìn)程文件系統(tǒng)（即PROC文件系統(tǒng)）來(lái)獲取系統(tǒng)中運(yùn)行進(jìn)程所占用的內(nèi)存、CPU、中斷、命令行等情況，以輔助安全管理員進(jìn)行惡意進(jìn)程的發(fā)現(xiàn)和排查。

PROC文件系統(tǒng)是一個(gè)虛擬的文件系統(tǒng)，通過(guò)文件系統(tǒng)的接口實(shí)現(xiàn)，用于輸出系統(tǒng)的運(yùn)行狀態(tài)。它以文件系統(tǒng)的形式，為操作系統(tǒng)本身和應(yīng)用進(jìn)程之間的通信提供了一個(gè)界面，使應(yīng)用程序能夠安全、方便地獲得系統(tǒng)當(dāng)前的運(yùn)行狀況和內(nèi)核的內(nèi)部數(shù)據(jù)信息，并可以修改某些系統(tǒng)的配置信息。另外，由于PROC以文件系統(tǒng)的接口實(shí)現(xiàn)，因此用戶可以像訪問(wèn)普通文件一樣對(duì)其進(jìn)行訪問(wèn)，但它只存在于內(nèi)存之中，并不存在于真正的物理磁盤當(dāng)中。所以，當(dāng)系統(tǒng)重啟和電源關(guān)閉的時(shí)候，該系統(tǒng)中的數(shù)據(jù)和信息將全部消失。

表1說(shuō)明了該文件系統(tǒng)中一些重要的文件和目錄。

表1重要的PROC文件系統(tǒng)文件和目錄

下面舉個(gè)簡(jiǎn)單的例子，說(shuō)明安全管理員如何來(lái)全面查看系統(tǒng)中一個(gè)運(yùn)行進(jìn)程的相關(guān)信息。

（1）進(jìn)程的基本信息都會(huì)存放在/proc文件系統(tǒng)中，具體位置是在/proc目錄下。通過(guò)使用如下命令可以查看系統(tǒng)中運(yùn)行進(jìn)程的相關(guān)信息，如圖1所示，其中顯示為系統(tǒng)中運(yùn)行進(jìn)程的信息所存放的目錄，每個(gè)進(jìn)程對(duì)應(yīng)一個(gè)目錄，3193為例子使用的進(jìn)程的詳細(xì)信息所在目錄：

圖1/ls/proc命令顯示結(jié)果

（2）切換到3193目錄，以方便詳細(xì)的查看進(jìn)程信息，并列出進(jìn)程詳細(xì)的狀態(tài)信息文件，如圖2所示：

圖2進(jìn)程3193信息所在目錄

（3）在這些文件當(dāng)中，status這個(gè)狀態(tài)文件是比較重要的，包含了很多關(guān)于進(jìn)程的有用的信息，用戶可以從這個(gè)文件獲得信息，如下所示：

其中，比較重要的字段詳細(xì)含義如下：

Name:scientific_comp//進(jìn)程名

State:R(running)//進(jìn)程運(yùn)行狀態(tài)

Tgid:3193//進(jìn)程組ID

Pid:3193//進(jìn)程ID

PPid:3123//父進(jìn)程ID

TracerPid:0//跟蹤調(diào)試進(jìn)程ID

Uid:6004600460046004//進(jìn)程所對(duì)應(yīng)程序的UID

Gid:6004600460046004//進(jìn)程所對(duì)應(yīng)程序的GID

FDSize:256//進(jìn)程使用文件句柄大小

Groups:6004//組信息

這樣，安全管理員就可以通過(guò)進(jìn)程名、進(jìn)程ID、父進(jìn)程ID、UID、GID等信息來(lái)綜合判定系統(tǒng)中進(jìn)程的合法狀態(tài)，以捕捉非法進(jìn)程，并進(jìn)行后續(xù)處理。

三、管理手段三：限制進(jìn)程使用的資源

在系統(tǒng)使用過(guò)程中，一些用戶編寫的進(jìn)程可能無(wú)意識(shí)地創(chuàng)建一些大型的文件或者派生（fork）過(guò)多地進(jìn)程，從而過(guò)度消耗系統(tǒng)資源，引起系統(tǒng)的不穩(wěn)定。同時(shí)，一些病毒也可能有派生多個(gè)進(jìn)程的行為出現(xiàn)，如臭名昭著的“震蕩波”病毒。這些都使得我們有必要來(lái)限制進(jìn)程使用的資源，保證系統(tǒng)安全。

為了防止進(jìn)程或者其子進(jìn)程創(chuàng)建大型文件，可以使用ulimit命令來(lái)進(jìn)行限制，具體的命令使用ulimit–f后接以K字節(jié)為單位指定的最大文件尺寸。圖3舉出了一個(gè)具體的例子加以說(shuō)明。在該例子中，首先采用ulimit命令限制當(dāng)前shell進(jìn)程可以創(chuàng)建的文件大??；然后，采用yes命令不斷寫入大量的字符串到test.txt文件中，該文件大小超過(guò)了ulimit命令許可的范圍，結(jié)果系統(tǒng)提示文件超過(guò)了大小，并終止了yes命令的不斷寫入過(guò)程。從后面使用ls命令來(lái)查看test.txt文件的大小來(lái)看，ulimit命令很好地將該文件大小限制在20KB的范圍之內(nèi)。

圖3ulimit命令使用示意

在實(shí)際的使用過(guò)程中，用戶可以降低自身的限制值，但是不能增加限制值。并且，只有root用戶才能在/etc/profile文件中增加ulimit選項(xiàng)的設(shè)置。因此，圖4中所示的增加自身限制值大小的操作是被禁止的；反之，圖5種所示的root用戶的操作就是允許的（請(qǐng)讀者注意圖4和圖5中使用不同的用戶進(jìn)行操作）。

圖4不允許非root用戶增加ulimit值

圖5允許root用戶增加ulimit值

另外，值得注意的是：雖然能夠采用ulimit值來(lái)限制進(jìn)程創(chuàng)建文件的大小，但是該機(jī)制并不能保證用戶創(chuàng)建多個(gè)相同大小的文件。比如，ulimit的限制值是20KB，那么該機(jī)制只能限制進(jìn)程創(chuàng)建的單個(gè)文件大小不能超過(guò)20KB，而不能限制進(jìn)程創(chuàng)建10個(gè)甚至100個(gè)20KB大小的文件。

Ulimit命令還可以用來(lái)限制單個(gè)用戶（父進(jìn)程）所能調(diào)用的最大子進(jìn)程個(gè)數(shù)，以避免某個(gè)父進(jìn)程由于無(wú)所限制的創(chuàng)建子進(jìn)程而造成整個(gè)系統(tǒng)崩潰。

圖6給出了一個(gè)使用ulimit命令限制子進(jìn)程無(wú)限調(diào)用的例子。首先，使用腳本編輯來(lái)自動(dòng)生成進(jìn)程；然后，使用ulimit命令來(lái)限制父進(jìn)程調(diào)用的最大子進(jìn)程個(gè)數(shù)為8。最后，可以看到當(dāng)創(chuàng)建到第9個(gè)時(shí)，系統(tǒng)報(bào)錯(cuò)并阻斷子進(jìn)程的再度調(diào)用。

圖6使用ulimit限制單個(gè)用戶調(diào)用的最大進(jìn)程個(gè)數(shù)

【編輯推薦】

1. 如何保證企業(yè)網(wǎng)絡(luò)安全遠(yuǎn)程管理
2. 遠(yuǎn)程管理工作站十大技巧
3. 做好寬帶路由器遠(yuǎn)程管理 防止非法攻擊的危險(xiǎn)