專家：如何監控和保護Linux下進程安全 （3）

不言而喻，這樣的后果是很嚴重的。而在我們下面所要介紹的一種運行于內核的進程監控程序當中，黑客根本無法或者很難深入內核來破壞該進程監控程序，從而使其能夠很好地保證自身的安全。

內核的實時監控技術

基于上述種種不足，我們提出了在Linux內核中實現進程實時監控的原理和技術。該技術主要分為以下幾個步驟（見圖）：



首先，在“干凈”的系統環境下，全面地運行系統中的安全進程，分析和搜集Linux環境下這些進程的相關信息（包括進程ID號、進程名稱、進程可執行映像、進程的開始時間、進程的父進程等主要信息），形成一張“系統安全進程列表”，作為進程監控的依據。

接著，監控代碼在進程調度過程中實時地搜集系統中運行進程的信息。如果發現進程不在“系統安全進程列表”當中，則馬上通過終端輸出該進程的PID號、名稱、進程的可執行映像等信息，或者通過聲音向用戶報警，等待用戶處理，在這個等待的過程中，終止調度該進程，直到用戶做出響應（放行該進程或者殺死該進程）。

在第二步當中，如果超級用戶（系統管理員）放行了該進程，則可以將該進程加入“系統安全進程列表”，以完善該列表；如果是一般用戶在使用過程當中放行了某個進程，那么，需要將該用戶的用戶名和身份記錄下來，并且將放行的進程記錄下來存為日志，那么，當超級用戶（系統管理員）無論是在審核用戶行為還是在修改“系統安全進程列表”時，都是一個有力的依據。

另外，在系統運行過程當中，如果發現“系統安全進程列表”當中的某些重要的進程（包括kswapd、bdflush等）不在運行，則馬上將該進程“遺失”的信息存入文件，以備在系統的恢復過程當中，對它們進行針對性的恢復，根據不同的情況，有的需要馬上停機，恢復進程，有的則可以現場恢復。

原文轉自：http://www.kjueaiud.com