Linux安全攻略―僵尸进程

Linux安全攻略―僵尸进程
---------------------------------------------------------------------------- ----

   微软系列的东西现在已经非常受人们的喜爱,尤其是他独特人性化操作才让大家爱不释 手,但是他也以漏洞之王为称,所以政府、企业等大型服务器是绝对没人敢用windows系 列产品的。相比之下Linux在安全方面就闲得非常强壮。 而且照以后的发展趋势来看Li nux将在各各领域占有绝对的优势,这个年代要是不懂Linux很难立足。所以今天我就带 大家步入Linux最基本的安全领域―"进程"。
   大家都知道Linux跟Win2K一样,都是多任务的操作系统,也就是说,在同一个时间 内,可以有多个进程同时执行。如果大家对硬件体系有一定了解的话,就会知道,我们 使用的个人计算机(PC)的CPU是在一个时间片断内只能执行一条指令,那么Linux是如何 实现多进程同时执行的呢?这里Linux使用了一种称为"进程调度(process scheduling )"的武器,首先,为每个进程指派一定的运行时间,这个时间通常很短,短到以毫秒为
单位,然后依照某种规则,从众多进程中挑选一个投入运行,其他的进程暂时等待,当 正在运行的那个进程时间耗尽,或执行完毕退出,或因某种原因暂停,Linux就会重新进 行调度,挑选下一个进程投入运行。因为每个进程占用的时间片都很短,在我们使用者 的角度来看,就好像多个进程同时运行一样了。我们了解了完了Linux多进程概念后,先 来看看什么是进程?
一、进程概念:
   当运行任何一个UNIX/Linux命令时,shell至少会建立一个进程来运行这个命令(这 个进程也叫做父进程),所以可以把任何在UNIX/Linux系统中运行的程序叫做进程;但 是进程并不是程序,进程是动态的,而程序是静态的,并且多个进程(这多个进程里除 了父进程,其他的就是子进程)可以并发的调用同一个程序
   系统中每一个进程都包含一个task_struct数据结构,所有指向这些数据结构的指针 组成一个进程向量数组,系统缺省的进程向量数据大小是512,表示系统中可同时容纳5 12个进程。进程的task_struct数据结构包括了进程的状态、调度信息、进程标识符等信 息。
   由于UNIX系统是一个多进程的操作系统,所以每一个进程都是独立的,都有自己的 权限及任务,所以当某一进程失败时并不会导致别的进程失败。系统通过进程标识符来 区分不同的进程,进程标识符是一个非负正数,他在任何时刻都是唯一的,当某个进程 结束时,他的进程标识符可以分配给另外一个新进程。系统将标识符0分配给调度进程, 标识符1分配给初始化进。下面我来给大家演示一下进程由出生到死亡的一个流程图。

进程一生流程图:
出生:  编程中的一句fork(),爸爸妈妈(父进程)让小孩(子进程)出生了,并且继 承里父母所有的东西,我们也可以把他看成克隆人。
生活:  然后随着exec(),小孩长大(新进程)脱胎换骨,离家独立,开始了为人民服 务的职业生涯。
死亡:  人有生老病死,进程也一样,它可以是自然死亡,即运行到main函数的最后一个 "}",从容地离我们而去;也可以是自杀,自杀有2种方式,一种是调用exit函数,一 种是在main函数内使用return,无论哪一种方式,它都可以留下遗书,放在返回值里保 留下来;它还甚至能可被谋杀,被其它进程通过另外一些方式结束他的生命(这里跟人 有些不一样,在进程里,如果父进程死了,那么他创建的所有子进程也一起跟着死去) 死后安葬方式:这一过程也是必有的,不能说人在哪死后就不管他,也不把尸体搬走吧 !:)进程死掉以后,会留下一具僵尸,wait()函数充当了殓尸工,把僵尸推去火化,使 其最终归于无形。 这就是进程完整的一生。
   进程在运行期间,会用到很多资源,包括最宝贵的CPU资源,当某一个进程占用CPU 资源时,别的进程必须等待正在运行的进程空闲CPU后才能运行,由于存在很多进程在等 待,所以内核通过调度算法来决定将CPU分配给哪个进程。概念清晰后我们接下来看看L inux中,进程有哪几种状态。
二、Linux中的进程基本状态:
   1、执行(R)状态:CPU正在执行,即进程正在占用CPU。
   2、就绪(W)状态:进程已经具备的执行的一切条件,正在等待分配CPU的处理时间片
   3、停止(S)状态:进程不能使用CPU。
   大家看到了在Linux中,正常来说进程有这么3种状态,但是在特殊情况下会多出一 种状态,这就是我们要讲的"僵尸进程(Zombie)"。下面我们会仔细的讲解,接下来再 介绍一下进程的管理。
三、Linux中的进程管理
    管理分两种,一个是如何启动进程,另一个是如何调度进程。
   1、启动进程
   键入需要运行的程序的程序名,执行一个程序,其实也就是启动了一个进程。在Li nux系统中每个进程都具有一个进程号(PID),用于系统识别和调度进程。启动一个进 程有两个主要途径∶手工启动和调度启动,后者是事先进行设置,根据用户要求自行启 动。由用户输入命令,直接启动一个进程便是手工启动进程。但手工启动进程又可以分 为很多种,根据启动的进程类型不同、性质不同,实际结果也不一样。
   (1) 前台启动
   前台启动是手工启动一个进程的最常用的方式。一般来说用户输入一个命令"test" ,这就在前台启动了一个进程。这时候系统其实已经处于一个多进程状态。有许多运行 在后台的、系统启动时就已经自动启动的进程正在悄悄运行着。这时如果有用户输入"t est"命令以后赶紧使用"ps -x"来查看,但是却没有发现这个进程,原因是因为这个进程 结束的太快,使用ps查看时该进程已经执行结束了。所以如果大家想看到进程的话,得
输入一个耗时的程序,我们下面会讲到。
   (2) 后台启动
   直接从后台手工启动一个进程用得比较少一些,除非是该进程甚为耗时,且用户也 不急着需要结果的时候。假设用户要启动一个需要长时间运行的格式化文本文件的进程 。为了不使整个shell在格式化过程中都处于"瘫痪"状态,从后台启动这个进程是明智的 选择。
   2、进程调度
   当需要中断一个前台进程的时候,通常是使用Ctrl+c组合键;但是对于一个后台进程 就不是一个组合键所能解决的了,这时就必须使用kill命令.该命令可以终止后台进程.至 于终止后台进程的原因很多,或许是该进程占用的CPU时间过多;或许是该进程已经挂死 .这种情况是经常发生的。Kill命令的工作原理是:向Linux系统的内核发送一个系统操 作信号和某个程序的进程标识号,然后系统内核就可以对进程标识号指定的进程进行操 作。
    好了,进程的基本概念熟悉了以后大家会问那么到底什么是所谓的"僵尸进程"?, 什么情况下会产生僵尸进程,如何杀掉僵尸进程?不用着急,我们先来熟悉一下有关Li nux进程方面的编程。
    首先我先给大家介绍几个非常重要的有关函数:
  fork();  功能:创建一个新的进程。(fork()<0[出错]、fork()==0[子进程]、fork ()>0[父进程]
  wait();  功能:真正结束进程(收尸)。
  exec();  功能:执行外部程序。

   好了,我现在让大家就看看我们神秘僵尸进程是什么样子的?下面我来用c写出父进 程建立子进程的代码:
/**********************************子进程正常出生和灭亡过程***************** **********************/
#i nclude <sys/types.h>
#i nclude <unistd.h>
main()
{
   fork(); /*开始创建一个子进程*/
   if(fork()>0) /* 如果是父进程 */
      wait(NULL);    /* 收集僵尸进程 */
}
   大家看完代码后,就会觉得这个代码正是我刚才讲的进程一生是怎么样的,进程死 后,一定要为他收尸,否则他就会变成僵尸进程。下面就让我们来看看未能把死去的进 程收尸会变成什么样子?
/**********************************僵尸进程******zombie.c******************* **********************************/
#i nclude <sys/types.h>
#i nclude <unistd.h>
main()
{
      fork(); /*开始创建一个子进程*/
   if(fork>0) /* 如果是父进程 */
      sleep(30);    /* 休眠30秒,这段时间里,父进程什么也干不了 */
      wait(NULL);    /* 收起僵尸进程 */
  /*因为父进程死了,子进程也得一起陪葬,那么我们就让父进程睡眠30秒,在这30秒 内我们就可以看到僵尸进程。 30秒过后,父进程醒来后就得死,所以到那时子进程也就死去。*/
}

/*************************************************************************** *****************/
   为了让大家更清楚的看到僵尸进程我们把这个僵尸进程代码编译,然后执行,
#gcc -o zombie zombie.c
编译成功后我们开始执行这个程序因为代码里的sleep(30)是让父进程睡眠30秒,如果我 们在前台执行我们这个程序,那么就不能执行其他shell命令了,所以这里我们在执行的 命令后面加一个& 代表后台运行的意思。
#./zomber &
好了,我们在30秒内执行查看进程命令来看看我们这个zombie进程是什么样的?
#ps -aux |grep zombie
这个命令是显示有关zombie的所有信息。
   看到这里后,聪明的朋友会问,既然子进程是由父进程创造出来的,那么如果一个 父程序执行完退出后,子进程不管是不是僵尸进程也直接就退出了,因为父进程死了嘛 。那么这也不会造成多大危害啊?如果大家这么认为那可就错了,当我们刚才用ps命令 观察进程的执行状态时,看到某些进程的状态栏为defunct,这就是所谓的"僵尸"进程。 "僵尸"进程是一个早已死亡的进程,但在进程表(processs table)中仍占了一个位置
(slot)。由于进程表的容量是有限的,所以,defunct进程不仅占用系统的内存资源, 影响系统的性能,而且如果其数目太多,还会导致系统瘫痪,具体请看下面的代码:
/***********************************无限创建子进程************************** ******************/
#i nclude <sys/types.h>
#i nclude <unistd.h>
main()
{
      for (;;)  /*制作一个死循环*/
        fork(); /*开始创建一个子进程*/
}

/*************************************************************************** *****************/
懂C语言的朋友会知道for(;;)是一个死循环。那么这仅有2行代码的程序就可以把你的l inux瞬间死机,因为他的作用是无限制的在内存里增加新的子进程,一个系统根据内存 的容量会分配进程的最大限制,一旦同时运行的进程数超符合,那么你的机器必然会死 机。
  我这里分别用了2个用户进行测试过,一个是普通权限的用户,一个是Root用户,测 试结果是"任何用户只要执行这个程序都会让机器死掉"。原因就是默认的Linux系统没有 对普通用户的使用最大进程进行限制。所以这样对系统造成很大一个威胁,那么我们如
何避免普通用户非法执行过多资源或进程导致系统拖死,所以我们的给除了Root的用户 做一下限制。

对普通用户进行限制:
第1步:首先进到Linux终端用vi编辑/etc/security /limits.conf文件,在里面加入:
  * hard core 0
  * hard rss 5000
  * hard nproc 20
 这里的* 代表除了Root的所有用户,(* hard core 0) 是禁止core files"core 0", (* hard rss 5000) 是限制内存使用为5MB"rss  5000", (* hard nproc 20 )是限制进 程数为"nproc 50"。大家可以根据自己系统内存大小进行合理配置。
第2步:用vi编辑/etc/pam.d/login文件,然后加上下面这行保存退出就可以。
session required /lib/security/pam_limits.so
     好了,现在我们已经对普通用户限制了进程和内存使用极限,修改完配置以后大家 可以用Root和普通用户分别进行测试,结果当然是普通用户执行完我们刚才做的程序不 会死机了。
   一个系统的安全性不取决与打不打补丁,虽然打补丁很重要,但是对系统做出相应 的配置也是相当重要的


你可能感兴趣的:(windows,服务器,操作系统,计算机,process)