【安全】【Linux】通过/proc/pid/获取进程信息

1 关于/proc

/proc是一个内存文件系统,它保存了系统运行的信息,比如,系统启动时间、内存使用率等,同时,对于每个进程,都会有一个目录保存该进程的信息。

2 进程的基本信息

这里不会列出所有的文件,只列出部分文件:

  • cmdline:命令行,注意:命令行中的空格会以空字符表示,因此,如果是程序读取命令行时,需要读取整个文件,然后遍历所有字符,将空字符转换为空格
  • comm:进程名
  • cwd:当前工作目录,是个软链接,指向实际的路径
  • environ:环境变量
  • exe:进程启动的二进制,也是个软链接,指向实际的文件路径
  • fd:进程打开的文件描述符,每个描述符也是个软链接,指向打开的文件,如果涉及到socket,则会显示socket的inode号
  • fdinfo/:进程打开文件时的一些属性
  • limits:进程的资源限制,内容与ulimit -a类似
  • maps:内存占用的地址空间以及对应的文件
  • root:根路径
  • stack:进程的堆栈
  • stat:进程的状态信息,包括ppid、进程名、进程启动时间等
  • status:进程的一些参数信息,包括uid、gid、虚拟内存、capability等
  • task/:进程的子线程,每个子目录就是一个线程的信息

3 进程的容器相关信息

进程的信息中跟容器相关的主要有两个:

  • 容器ID:container_id
  • 进程在容器中的pid:nspid

如果是容器中的进程,在/proc/pid/cgroup中可以看到容器ID:

-bash-4.2# cat /proc/10135/cgroup
11:hugetlb:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
10:cpuacct,cpu:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
9:perf_event:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
8:freezer:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
7:memory:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
6:devices:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
5:pids:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
4:cpuset:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
3:net_prio,net_cls:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
2:blkio:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
1:name=systemd:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8

这里面是每个cgroup的路径,每行的最后的64个字符组成的串就是容器ID,执行docker ps --no-trunc可以看到该容器ID对应的容器。

nspid的获取跟内核版本相关:

  • 如果内核版本小于4.1,则只能通过容器中的进程的nspid的sched得到宿主机的pid,也就是说,需要进入到容器,然后
  • 如果内核版本大于或者等于4.1,可以读取/proc/pid/status,其中有一行以Nspid开头,一般只有两个值,第一个值是该进程在宿主机上的pid,第二个值是该进程在容器中的pid,也就是nspid
-bash-4.2# docker exec -it 9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8 sh
sh-3.2# cat /proc/1/sched
bash (10135, #threads: 1)
-------------------------------------------------------------------

上面就是进入到容器中,然后查看nspid为1的进程的sched文件就可以查询到该进程在宿主机上的pid,但是无法在宿主机上查询到容器中的nspid。

4 进程的网络相关信息

/proc/pid/fd目录是程序中使用的文件描述符,如果打开的是文件,则指向文件,如果打开的是设备,则指向设备文件,如果打开的是网络,也就是socket,指向的则是一个inode:

-bash-4.2# ls -l /proc/1/fd
total 0
lrwx------. 1 root root 64 Nov 16 17:34 0 -> /dev/null
lrwx------. 1 root root 64 Nov 16 17:34 1 -> /dev/null
lrwx------. 1 root root 64 Nov 16 17:37 100 -> socket:[39232]
lrwx------. 1 root root 64 Nov 16 17:37 101 -> socket:[36748]

如上所示,100和101分别指向socket,如何根据socket的inode获取连接信息呢?

/proc/pid/net中是进程的网络相关数据,里面会按照协议分类展示出数据,需要注意的是,有些协议是全局的,但是也会在这里有对应的数据,例如,arp是全局的,/proc/pid/net/arp是当前进程使用的arp信息,可以发现所有进程的该文件内容都是一样的。

/proc/pid/net常见的内容有:

  • arp:arp -a
  • netlink:netlink的连接
  • route:route -n
  • tcp/tcp6:TCP的ipv4和ipv6连接
  • udp/udp6:UDP的ipv4和ipv6连接
  • unix:unix套接字的连接

/proc/pid/net/tcp的文件格式类似以下结构:

  sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                     0: 00000000:006F 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 22741 1 ffff9ef170b80000 100 0 0 10 0                     1: 0100007F:8892 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 84466 1 ffff9ef170b826c0 100 0 0 10 0                     2: 017AA8C0:0035 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 37480 1 ffff9ef164f38000 100 0 0 10 0                     

这里面比较重要的就是local_address和rem_address,分别以十六进制显示本地和远端的IP地址和端口,后面还有个字段是inode,就对应/proc/1/fd中的inode,另外的tcp、udp、netlink也可以通过一样的方式找到对应的连接的具体信息。

5 总结

/proc/pid中包含了进程的许多信息,这些信息可以供用户查看,也可以供程序读取,程序可以从这里获取到进程的文件、网络等信息并进行分析,但是,频繁读取也可能影响业务性能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/185416.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

职业测评链接

职业测评链接: https://www.16personalities.com/ch?utm_sourceresults-turbulent-campaigner&amp%3Butm_mediumemail&amp%3Butm_campaignch&amp%3Butm_contentlogo-0

selenium脚本编写及八大元素定位方法

selenium脚本编写 上篇文章介绍了selenium环境搭建,搭建好之后就可以开始写代码了 基础脚本,打开一个网址 from selenium import webdriver driver webdriver.Chrome()#打开chrome浏览器 driver.get(https://www.baidu.com) #打开百度打开本地HTML文件 上篇文章…

docker部署禅道18.3及官方文档中未提及的问题处理

禅道部署方式 文档地址:https://www.zentao.net/book/zentaopms/38.html#61.拉取镜像 docker pull easysoft/zentao:18.32.创建网络 docker network create --subnet172.172.172.0/24 zentaonet3.启动容器 docker run --name zentao -p 8090:80 -p 3307:3306 \ --networkze…

线性方程组的迭代法(Jacobi 迭代法和Gauss-Seidel 迭代法) C++代码

Jacobi 迭代法 #include <iostream> #include <cmath> #include <vector>using namespace std;// 定义方程组的系数矩阵和常数向量 vector<vector<double>> A {{20, 2, 3},{1, 8, 1},{2, -3, 15}}; vector<double> b {24, 12, 30};// 定…

brat文本标注工具——安装

目录 一、Linux系统安装 1. centOS系统 2. Ubuntu系统 3. macOS系统 4.说明 二、Google Chrome安装 1. 打开命令行&#xff0c;切换到管理者权限 2. 安装依赖 3. 下载Google浏览器的安装包 4. 安装Google Chrome 三、yum更新 四、Apache安装 安装Apache 启动Apac…

threeJs引入模型使用3D模型(vite+React+Ts)

要在 Three.js 中使用 3D 模型&#xff0c;你需要加载模型文件并将其添加到场景中。Three.js 支持多种不同的模型格式&#xff0c;比如 OBJ、FBX、GLTF 等。 init vitelatest //创建一个vite的脚手架 选择react并配置Ts 安装three.js准备 npm install react-three/drei np…

a-select:远程搜索——防抖节流处理——基础积累

a-select:远程搜索——防抖节流处理——基础积累 效果图下拉筛选数据&#xff1a;远程搜索功能&#xff1a; 效果图 下拉筛选数据&#xff1a; <a-selectshow-searchv-model"form.jobPositionCode"placeholder"请选择岗位"style"width: 100%"…

Redis哈希对象(listpack介绍)

哈希对象的编码可以是ziplist或者hashtable。再redis5.0版本之后出现listpack&#xff0c;为了是代替ziplist。 一. 使用ziplist编码 ziplist编码的哈希对象使用压缩列表作为底层实现&#xff0c;每当有新的键值对要加入到哈希对象时&#xff0c;程序都会先将保存了键值对的键…

【Linux 静态IP配置】

静态IP配置 1.NAT模式设置2.设置静态ip3.重启网络4.查看ip 1.NAT模式设置 首先设置虚拟机中NAT模式的选项&#xff0c;打开VMware&#xff0c;点击“编辑”下的“虚拟网络编辑器”&#xff0c;设置NAT参数 注意&#xff1a; VMware Network Adapter VMnet8保证是启用状态 …

ClassCMS2.4漏洞复现

ClassCMS2.4漏洞复现 环境搭建 任意文件下载漏洞复现 漏洞成因 ClassCMS2.4漏洞复现 CMS源码在附件中 环境搭建 使用phpstudy2016搭建web环境&#xff0c;php版本为5.5 安装CMS 这里选择Mysql数据库进行安装 用户名和密码都写默认的admin方便记忆 输入完成后点击安装 点…

【性能测试】性能测试监控关键指标

系统指标 检测性能测试是否有bug的关键指标 1、系统指标——与用户场景及需求直接相关。 并发用户数&#xff1a;某一物理时刻同时向系统提交请求的用户数。平均响应时间&#xff1a;系统处理事务的响应时间的平均值&#xff0c;对于系统快速响应类页面&#xff0c;一般响应…

货代FOB条款卖方必备的知识:发货人都要承担哪些费用呢?

据统计&#xff0c;中国出口中以FOB成交的占到70%&#xff0c;但专家指出&#xff1a;FOB对出口商的风险更大&#xff0c;有可能造成货、款两空的结局。 目前我国出口合同以FOB价格条款成交的比例越来越大&#xff0c;而且收货人指定船公司的少&#xff0c;指定境外货代的多&am…

koa2项目jwt结合jsonwebtoken进行加密和验签

1.创建项目 koa-generator快速生成koa项目 koa2 admin-server npm install -g koa-generator koa2 admin-server npm install npm run dev启动服务 2.token设置 app.js引入koa-jwt和jsonwebtoken npm i koa-jwt npm i jsonwebtoken 引入路由文件&#xff1b;对没有验签通…

阻止事件冒泡

在默认情况下&#xff0c;发生在一个子元素上的单击事件&#xff08;或者其他事件&#xff09;&#xff0c;如果在其父级元素绑定了一个同样的事件&#xff0c;此时点击子元素&#xff0c;click事件会首先被子元素捕获&#xff0c;执行绑定的事件程序&#xff0c;之后会被父级元…

建设银行新余市分行积极开展国债下乡宣传活动

近日&#xff0c;为了普及国债知识&#xff0c;提高农村居民对国债的认知度和投资意识&#xff0c;建设银行新余市分行组织员工前往下村开展了一场国债下乡宣传活动。 活动当天&#xff0c;工作人员早早地来到了下乡地点&#xff0c;悬挂起了国债宣传横幅&#xff0c;并摆放了…

ESP32-Web-Server编程- 使用SSE 实时更新设备信息

ESP32-Web-Server编程- 使用SSE 实时更新设备信息 概述 如前所述&#xff0c;传统 HTTP 通信协议基于 Request-Apply&#xff08;请求-响应&#xff09;机制&#xff0c;浏览器&#xff08;客户端&#xff09;只能单向地向服务器发起请求&#xff0c;服务器无法主动向浏览器推…

1.7 java实现License认证信息的加密解密处理

java实现License认证信息的加密解密处理 一、什么是License认证二、确定License文件的格式和内容1. 生成一个存放License信息的ini文件 三、使用RSA非对称加密方式对文件进行加密和解密1. 生成密钥对2. 加密数据3. 解密数据 一、什么是License认证 License认证是一种用于验证软…

java源码-数组

背景 上传图片&#xff0c;需要对图片格式进行校验&#xff0c;这是就可以使用数组 1、什么是数组&#xff1f; Java 语言中提供的数组是用来存储固定大小的同类型元素。 如&#xff1a;可以声明一个数组变量&#xff0c;如 numbers[100] 来代替直接声明 100 个独立变量 numb…

替代升级虚拟化 | ZStack Cloud云平台助力中节能镇江公司核心业务上云

数字经济正加速推动各行各业的高质量升级发展&#xff0c;云计算是数字经济的核心底层基础设施。作为云基础软件企业&#xff0c;云轴科技ZStack 坚持自主创新&#xff0c;自研架构&#xff0c;产品矩阵可全面覆盖数据中心云基础设施&#xff0c;针对虚拟化资源实现纳管、替代和…

用按层次顺序遍历二叉树的方法,设计算法统计树中度为1的结点数目

用按层次顺序遍历二叉树的方法&#xff0c;设计算法统计树中度为1的结点数目 代码思路&#xff1a; 层序遍历的实现需要借助一个辅助队列 首先将根结点入队&#xff0c;然后根出队&#xff0c;把根的两个子树入队 然后下面循环执行&#xff1a;队头元素出队&#xff0c;队头元…