Наблюдение за файловой системой /proc

4. Все наблюдения за содержимым этой директории следует производить с правами администратора. Поскольку суперпользователь обладает правами на запись практически любого файла в таблице процессов, ему следует быть весьма осторожным в работе с ними.

5. Командой cd /proc перейдите в директорию /proc.

6. С помощью команды ls -l|more выведите на экран содержимое файловой системы /proc. Обратите внимание на то, что в строках листинга отображаются странные каталоги и файлы, имеющие нулевой размер. Большая часть каталогов вместо имен в последнем столбце содержит номера. Для каждого активного процесса в каталоге /proc существует подкаталог, имя которого совпадает с идентификатором этого процесса PID. При создании процесса каталог с его номером автоматически генерируется и удаляется при завершении процесса.

7. Командой ls -li|more выведите также информацию об индексных дескрипторах отображаемых файлов и каталогов. С помощью редактора extview убедитесь, что эти номера либо не существуют, либо принадлежат другим файлам. В дальнейшем для удобства просмотра информации можете использовать Midnight Commander.

8. Обратите внимание на время модификации псевдофайлов. Оно равно времени запуска соответствующей команды.

9. Откройте несколько нумерованных подкаталогов подряд. Обратите внимание на то, что все подкаталоги содержат одни и те же «файлы». С помощью команды ps –ef найдите PID командного интерпретатора, с которым администратор работает из первой консоли, и в дальнейшем наблюдайте за каталогом с этим номером.

10. Прочитайте информацию, относящуюся к одному из процессов (например, cat /proc/103/status). Чем может быть полезна такая информация для администратора и пользователя? Представляет ли эта информация интерес для информационного нарушителя?

11. Открывая файлы для просмотра, вы можете получить необходимую справочную информацию о системе. Именно отсюда ее берут многочисленные утилиты:

· открывая командой cat файл version, прочитайте версию ядра ОС, которая сейчас запущена, а также сведения об его компиляции. Примерно такую же информацию предоставляет утилита uname –r,

· командой ls –l kcore можно вывести информацию об объеме ОЗУ в байтах. Не следует читать файл kcore – это эквивалентно попытке чтения всей оперативной памяти. Если в этом чтении есть потребность, следует узнать конкретный адрес размещения интересующих данных и читать их из специального файла /dev/mem с помощью утилиты dd,

· запустив команду cat cpuinfo, получите информацию о центральном процессоре (или процессорах),

· открывая для чтения файл mounts, можно получить динамическую информацию о смонтированных устройствах. Сравните ее с содержимым каталога /etc/mtab,

· файл devices содержит список старших номеров зафиксированных системой символьных и блочных устройств,

· файл meminfo хранит сведения об использовании системной памяти. Получите аналогичную информацию с помощью команды free.

12. Зайдите в каталог, номер которого соответствует PID командного интерпретатора, который в данный момент обслуживает вашу консоль. Прочтите значения установленных переменных окружения оболочки из псевдофайла environ. Командой

HOME=$HOME:/tmp

временно измените свой домашний каталог. Пронаблюдайте соответствующие изменения в файле environ. Проверьте изменение переменной окружения командой echo $HOME. Введите эту команду еще раз. Какие изменения произошли?

Если сброс переменной при ее чтении не происходит, посмотрите, как она изменится после завершения процесса. Для оболочки – это команда exit и повторная регистрация в этой же консоли (проверьте, как меняется PID оболочки).