[port139ml:01725] Re: Process Monitoring Tool

[Akira Ryowa <ryowa@xxxxxxxxxx>]

りょうわ です。ども。

On Thu, 26 Dec 2002 00:08:32 +0900
kawa <kawakawa@xxxxxxxxxxx> wrote:

> きっと↓を読めば宿題が増えます(^^)
げげ ^^;;

> 最近いじっていなかったので先程導入して試してみました。
> (1)シェル組み込みの pwd はログにでない
> (2)/bin/pwd はログに記録される
> (3)alias コマンドもシェルの組み込みなのでログにでない
> (4)その他 hash や set もでない
ということであれば納得です。

procmon 自体は、システムコールテーブルの書き換えによって、ログ出力を実現
しているわけですが alias, hash, set 等々のシェル組込みコマンドの場合、シェ
ル内部でメモリ上の値の読み書きをしているだけのようですので、execve を書
き換えてもひっかからないわけですね。

＃極端な話、外部コマンドの助けなしに何でもできるような超多機能シェルがあ
＃れば、execve だけではほとんど何も見えない状況が起こりえないとはいえま
＃せんね。

シェル上のコマンド実行ログをとるという目的であれば、やはり bash や tcsh 
などのプログラムに直接手を入れるのが正攻法なのでしょう。

procmon も、もっと多くのシステムコールに対応するようにすれば、他にもいろ
いろと見られるとは思いますが、情報量としては今ぐらいがちょうどいいのでは
ないかという気がします。
＃あとは、chown, chmod, setuid ぐらい？write や rename は、とり方を工夫
＃しないとあっという間にログがあふれそうですね。


ということで、宿題はごかんべんください :)

-- 
Akira Ryowa <ryowa@xxxxxxxxxx>