¦ledzenie Linuxa za pomoc± Syscalltracker'a

ArticleCategory:

KernelCorner

AuthorImage:[Here we need a little image from you]

TranslationInfo:

AboutTheAuthor:[A small biography about the author]

Nazywam się Mulyadi Santosa. Mieszkam w Indonezji i pracuję jako niezależny autor i konsultant. Moje zainteresowania to klastry, systemy bezpieczeństwa i sieci. Uruchomiłem też mał± prywatn± firmę zajmuj±c± się dziedzin± klastrów. Moj± uwagę przyci±gaj± szczególnie OpenMosix and openSSI. W wolnym czasie ulubionymi rozrywkami s± czytanie i uprawianie sportu. Możesz wysłać mi e-mail na a_mulyadi@softhome i podyskutować o tym.

Abstract:[Here you write a little summary]

Czasami chcemy przyjrzeć się naszemu Linuxowi bardziej z bliska. Jest w nim wiele programów służ±cych do tworzenia logów, narzędzi do wykrywania intruzów czy programów testuj±cych integralno¶ć. Chciałbym teraz przedstawić mechanizm służ±cy do obserwowania Linuxa na poziomie kernela, który oferuje większ± niezawodność oraz szerszy wachlarz zastosowań.

ArticleIllustration:[One image that will end up at the top of the article]

ArticleBody:[The main part of the article]

Wprowadzenie

Pewnego dnia czekalem na listę mailow± omawiaj±c± zagadnienie "clustering middleware tool". Przypadkowo znalazłem tam watek dotycz±cy anomalii spowodowanych przez łatkę kernela. I wtedy osoba odpowiadająca na tego maila stwierdziła, że spróbuje zrekonstruować powstały problem na podstawie kroków opisanych przez osobę pierwsz±. Ta osoba używała narzędzia zwanego Syscalltracker, w celu rozgryzienia zaistniałego problemu. Zastanowiło mnie "Co to za narzędzie ten Syscalltracker? Jakie s± jego możliwo¶ci?". Dla zwykłego użytkownika jak ja nazwa "Syscalltracker" wygl±dała tajemniczo i podejrzanie :)

Syscalltracker

(http://syscalltrack.sourceforge.net) jest kolekcj± modułów j±dra pozwalaj±cych na ¶ledzenie wywołań systemowych wykonanych wewnętrznie przez j±dro Linuxa. Po co to ??? Generalnie możemy użyć tego do ¶ledzenia przyczyn pewnych niewła¶ciwych zachowań systemu, trudnych do ustalenia przez zwykłe mechanizmy ¶ledzenia czy debuggowania. Oto prosty przykład: załóżmy, że masz w katalogu /etc plik konfiguracyjny zwany inetd.conf (podstawowa konfiguracja dla demona INETd). Skonfigurowałe¶ go w ten sposób, żeby uruchamiał niektóre demony systemowe i wył±czał inne. I wtedy uruchamiasz inetd i wszystko z pocz±tku idzie dobrze. Ale nagle /etc/inetd.conf znikn±ł. Szczę¶liwie posiadasz zapasow± kopię pliku i szybko przywracasz wła¶ciwy stan. Restartujesz inetd bazuj±c na nowej konfiguracji. Tym razem znowu co¶ dodało nowe linie do inetd.conf i wstawiło komendy uruchamiaj±ce jakie¶ dziwne demony. Zaczynasz się irytować... "kto to zrobił?" "Czy jest to spowodowane przez demona, którego wystarował sam inetd ???". Szybko wrzucasz "cat"na logi systemowe, odpalasz "top" oraz "ps", żeby przyłapać podejrzany proces lub użytkownika, ale niestety nic takiego nie widać.

Istnieje rozwi±zanie śledz±ce tego rodzaju problemy. Nie jest może 100%'owo doskonałe, ale wystarczaj±co dobre w wiekszo¶ci przypadków. Bazuje ono na fakcie, że każda akcja lub komenda wykonana z shella, program użytkownika czy demon (innymi słowy - KAŻDY proces) musi być uruchomiony jednym b±dĽ wiecej wywołaniami procedur systemowych, powszechnie nazywanych wywołaniami systemowymi. Próbujesz skasować plik? To znaczy, że wywołujesz unlink. Uruchomiłe¶ skrypt shella? Wtedy musi być wywołane exec() lub execve(). Tak więc praktycznie każda akcja odniesiona do systemu jest bezpo¶rednio interpretowana jako wywołanie systemowe. Wła¶nie dzięki temu ¶ledzenie bazuj±ce na wywołaniach systemowych może być mocn± broni±.

Zainteresowany ???

Więc możesz spróbować. W tym artykule używam dystrybucji Redhat Linux 7.3 jako systemu bazowego. WejdĽ na stronę http://syscalltrack.sourceforge.net i ¶ci±gnij pakiet z sekcji "download". Ja używam tutaj syscalltrack-0.82.tar.gz o rozmiarze około 500kB. Rozpakuj ten pakiet załóżmy do katalogu /usr/src:

# tar xzvf syscalltrack-0.82.tar.gz

Teraz sprawdĽ czy masz kod żródłowy j±dra w /usr/src:

# rpm -qa | grep -i kernel-source

LUB

# ls -al /usr/src/linux-2.4

Jeżeli powyższe komendy pokaż±, że nie masz zainstalowanych źródeł, musisz je doinstalować. Ľródła znajdziesz na płytce Redhat CD (#2):

# rpm -replacepkgs -Uvh /path/to/your/RPM/kernel-source-2.4.18-3.i386.rpm

Zwróć uwagę, że MUSISZ skompilować Syscaltracker'a bazuj±cego na tej samej wersji j±dra (i innych dodatkowych łatkach), która jest aktualnie uruchomiona na twoim Linux'ie. Przykład: je¶li używasz standardowego j±dra z Redhat 7.3, wtedy musisz skompilować Ľródła kernela z płytki Redhat CD. Albo je¶li chcesz używać innego, wybranego przez ciebie j±dra, musisz samodzielnie skompilować Syscalltracker'a bazuj±cego na Ľródłach tego j±dra.

Oprócz kodu Ľródłowego, dla ułatwienia kompilacji Syscalltrackera, potrzebujesz także Redhat'owego pliku konfiguracyjnego j±dra. Spróbuj sprawdzić zawarto¶ć katalogu /boot:

# ls -al config*

Jeżeli uzyskałe¶ wynik w stylu 'config-2.4.18-3', skopiuj ten plik to katalogu /usr/src/linux-2.4. Zmień jego nazwę na '.config'

# cp /boot/config-2.4.18-3 /usr/src /linux-2.4/.config

Je¶li tego pliku z jakiego¶ powodu nie ma, możesz skopiować go z katalogu ze Ľródłami j±dra. Znajduje się on w podkatalogu configs. Musisz wybrać ten, który odpowiada twojej aktualnie uruchomionej wersji kernela. A więc najpierw sprawdĽ jaka to wersja:

# uname -a

Wykonanie powyższej komendy powinno w rezultacie wy¶wietlić wersję kernela. Możesz to zgadn±ć. Załóżmy, że uzyskany wynik to "kernel-2.4.18-3-i386" - wtedy potrzebujesz skopiować plik kernel-2.4.18-3-i386.config

# cd /usr/src/linux-2.4
# cp configs/kernel-2.4.18-3-i386.config ./.config

Teraz musisz wykonać:

#cd /usr/src/linux-2.4.18-3
# make mrproper
# make menuconfig

Zaaplikuj potrzebne ci ustawienia a następnie zapisz/wyjdĽ. Je¶li używasz samodzielnie skompilowanego jądra, a zgubiłe¶ stary plik konfiguracyjny j±dra, musisz starannie go odtworzyć, aby unikn±ć póĽniej problemów (Mam nadzieję, że nie :-))

Kompilacja Syscalltracker'a

Do teraz przygotowali¶my wszystkie potrzebne rzeczy. Możemy rozpocz±ć kompilację Syscalltracker'a:

# cd /usr/src/syscalltrack-0.82
# ./configure (or ./configure -with-linux=/path/to/your/linux/kernel/source)
# make && make install

Jeżeli kompilacja przebiegła pomy¶lnie, odnajdziesz dwa nowe moduły:

/lib/modules/2.4.18-3/syscalltrack-0.82/sct_rules.o
/lib/modules/2.4.18-3/syscalltrack-0.82/sct_hijack.o

S± to moduły odpowiedzialne za ¶ledzenie twojego systemu. Sam autor używa terminu "system call hijacking", oznaczaj±cego przechwytywanie wywołań systemowych i wykonywanie pewnych zdefiniowanych wcze¶niej akcji przed wykonaniem wła¶ciwej procedury. Moduły te trzeba załadować. Do ładowania modułów używamy specjalnego wbudowanego skryptu:

# sct_load (jako root)

Upewnij się, że kernel załadował moduły, używaj±c lsmod. Powiniene¶ zobaczyć co¶ w stylu:

Module     Size  Used by    Not tainted
sct_rules  257788   2
sct_hijack 110176   1      [sct_rules]
<…..cut………..>

Reguły

Gratulacje !!! Załadowałe¶ moduły i masz uruchomionego Syscalltracker'a. Ale to nie koniec. Potrzebujesz jeszcze napisać reguły wymagane przez Syscalltracker'a do wła¶ciwej pracy. Zacznijmy od prostej reguły:

rule 
 { 
   syscall_name=unlink 
   rule_name=unlink_rule1 
   action 
   { 
     type=LOG 
     log_format {%comm : %params delete by %euid --> %suid} 
   } 
   when=before 
}

Każd± regułę zdefiniowan± dla Syscalltrackera rozpoczyna zastrzeżone słowo "rule" poprzedzone przez "{". Następnie musisz zadeklarować, które wywołanie systemowe chcesz obserwować, używaj±c parametru "syscall_name". Jest wiele wywołań systemowych, z których możesz wybrać. Aby zobaczyć ich kompletn± listę spróbuj zajrzeć do pliku '/usr/local/lib/syscalltrack-0.82/syscalls.dat-2.4.18-3'. Znaczenie niektórych wywołań systemowych jest ciężko odgadn±ć, ale s± też wywołania bardzo łatwe. Teraz wybiorę unlink(). To wywołanie systemowe jest uruchamiane za każdym razem, gdy kto¶ lub co¶ próbuje skasować plik. My¶lę, że to dobry wybór na pocz±tek, więc nasz± ide± jest obserwować kasowania występuj±ce w naszym systemie.

W parametrze "rule_name", musisz dostarczyć nazwę reguły. Jest ona dowolnym wpisem, po prostu napisz dowoln± łatw± do zrozumienia nazwę. Ja wybrałem "unlink_rule1". W sekcji "action" musisz wpisać co Syscalltracker ma zrobić każdorazowo gdy wyst±pi odpowiednie wywołanie systemowe. Syscalltracker wspiera różne akcje, ale tutaj użyjemy akcji typu LOG. Ta akcja wypisze logi na urz±dzenie /dev/log. Zgodnie z tym co pisze na stronie internetowej na li¶cie TODO (do zrobienia), s± plany aby zrobić przepisywanie wywołań systemowych. Znaczy to, że mógłby¶ manipulować parametrami wywołania systemowego i wstawiać swóje własne parametry :-)

Dla akcji LOG musisz zdefiniować format wyj¶ciowy. Dostępne s± pewne makra, pozwalaj±ce uzyskać szczegółowe informacje:

%ruleid -> nazwa reguły, do której pasuje przechwycone wywołanie systemowe
%sid    -> numer identyfikacyjny wywołania systemowego
%sname  -> nazwa wywołania systemowego
%params -> parametry wywołania systemowego
%pid    -> ID procesu, który wykonuje wywołanie systemowe
%uid    -> ID użytkownika, który używa wywołania systemowego
%euid   -> efektywny ID użytkownika, który używa wywołania systemowego
%suid   -> numer SUID użytkownika który użył wywołania systemowego
%gid    -> ID grupy użytkownika, który używa wywołania systemowego
%egid   -> efektywny ID grupy użytkownika, który używa wywołania systemowego
%sgid   -> numer SGID grupy użytkownika, który użył wywołania systemowego
%comm   -> nazwa komendy, która wykonuje wywołanie systemowe
%retval -> wartość zwrócona przez wywołanie systemowe. Działa tylko
           dla akcji LOG z typem "after"

Załóżmy, że wpisałem

.log_format {%comm : %params delete by %euid --> %suid}

Oznacza to "Chcę uzyskać log na temat każdej komendy, która uruchomiła wywołanie systemowe unlink, z efektywnym identyfikatorem użytkownika EID oraz identyfikatorem SUID."

W parametrze when, możemy wybrać pomiędzy "before" i "after". Różnica jest oczywista - je¶li używamy "before" rejestrowanie zdarzenia nast±pi zanim zostanie wykonane wywołanie systemowe. Je¶li użyjemy "after" rejestrowanie zdarzenia będzie miało miejsce po wykonaniu wywołania systemowego.

Na końcu reguły dajemy "}". Cała reguła może być zapisana wewn±trz zwykłego pliku tekstowego, na przykład nazwijmy go "try.conf" i zapiszmy w "/tmp". Teraz musisz załadować t± regułę do Syscalltrackera

# sct_config upload /tmp/try.conf

Jeżeli reguła napisana jest poprawnie, otrzymasz komunikat "Successfully uploaded rules from file '/tmp/try.conf' ".

OK, wszystko poszło dobrze. Teraz przyszła faza testu. Uruchom konsolę, powiedzmy xterm z Xwindow. Na jednej konsoli ogl±daj komunikaty Syscalltrackera używaj±c

# sctlog

Za chwilę zobaczysz wynik działania mechanizmu przechwytywania wywołania systemowego odpowiadaj±cego twojej regule. Na innej konsoli zrób co¶ takiego:

# cd /tmp
# touch ./dummy
# rm ./dummy

Używaj±c powyższej reguły, otrzymasz prawdopodobnie następuj±cy wynik na konsoli z sctlog:

"rm" : "./dummy" delete by 0 --> 0

Na podstawie powyższego komunikatu za chwilę dowiesz się co się dzieje.

Komenda "rm" z parametrem "./dummy" wykonała wywołanie systemowe unlink(). Lub innymi słowy rm zostało użyte do skasowania pliku. Ta komenda używa efektywnego id użytkownika o numerze 0 (lub root)"

Oto przykład innej reguły:

rule
{
   syscall_name = unlink
   rule_name = prevent_delete
   filter_expression {PARAMS[1]=="/etc/passwd" && UID == 0}
   action {
     type = FAIL
     error_code = -1
   }
   when = before
}

Jest ona podobna do te z pierwszego przykładu, z tym, że teraz używamy akcji FAIL. Wył±cznie dla FAIL musimy zdefiniować zwracan± warto¶ć dla przechwyconego wywołania systemowego. Ja używam tu warto¶ci "-1" czyli "operacja nie dozowlona". Kompletn± listę warto¶ci znajdziesz w pliku /usr/include/asm/errno.h.

W linii zawieraj±cej "filter_expression" definuję warunek dla którego wykonywane jest sprawdzanie - je¶li pierwszy parametr (wywołania systemowego) jest równy "/etc/passwd". Dlatego potrzebujemy zmiennej PARAMS. Uwaga: każda sekcja ma swoje własne wymagane parametry. To sprawdzanie nie jest idealne ponieważ kto¶ może użyć czego¶ w stylu "cd /etc && rm -f ./passwd". A to zadziała już prawidłowo !!! Używamy także sprawdzenia czy UID jest równy 0 (root).

Dodaj t± regułę do pliku z poprzedni± reguł± i przeładuj:

# sct_config delete
# sct_config upload /tmp/try.conf

Zwróć uwagę, że kolejno¶ć reguł jest ważna. Je¶li zadeklarujesz regułę "prevent_delete" przed "unlink_rule1" wtedy gdy zrobisz :

# rm -f /etc/passwd

najpierw zostanie dopasowana reguła "prevent_delete" i cała akcja zakończy się niepowodzeniem. Reguła "unlink_rule1" zostanie zignorowana. Ale je¶li zamienisz kolejno¶ć reguł ("unlink_rule1" przed "prevent_delete"), wtedy dostaniesz komunikat (wynik pierwszej reguły) bez zatrzymywania akcji !

Ineteresuj±ce jest też inne wywołanie systemowe zwane ptrace. Z "man ptrace", możesz dowiedzieć się, że to wywołanie systemowe jest używane w celu obserwacji i kontroli uruchomienia innego programu. W odpowiednich rękach ptrace może być podręcznym narzędziem do debuggowania, ale w nieodpowiednich może być ono użyte do analizowania dziur systemowych i używania ich. Dodajmy regułę do obserwowania ptrace'a.

Aby to zrobić użyj reguły jak poniżej:

rule
{
    syscall_name=ptrace
    rule_name=ptrace_rule1
    action {
        type=LOG
      log_format {%comm : %params issued ptrace by %euid --> %suid}
  }
    when=before
}

Zauważ, że deklarujemy ptrace jako wywołanie systemowe, które ma być ¶ledzone. Dla testu, użyj programu strace, żeby wypróbować t± regułę. Najpierw załaduj powyższ± regułę do syscalltracker'a i uruchom sctlog. Wtedy uruchom strace w stosunku np. do komendy ls:

# strace /bin/ls

W sctlog, możesz zobaczyć kilka linijek w stylu:

"strace" : 3, 2019, 24, -1073748200 issued ptrace   by 0 --> 0
"strace" : 24, 2019, 1, 0 issued ptrace   by 0 --> 0
"strace" : 3, 2019, 44, -1073748200 issued ptrace   by 0 --> 0
"strace" : 3, 2019, 24, -1073748200 issued ptrace   by 0 --> 0
"strace" : 3, 2019, 0, -1073748216 issued ptrace   by 0 --> 0
"strace" : 7, 2019, 1, 0 issued ptrace   by 0 --> 0

Dla tych, którzy nie znali strace, jest to narzędzie (bardzo silne) do ¶ledzenia wywołań systemowych wydawanych wewn±trz wykonywalnego pliku. Strace wewnętrznie używa ptrace aby podczepić się do docelowego programu, dzięki czemu może go ¶ledzić. Obecnie strace oraz Syscalltracker stanowi± idealne combo do audytu systemu oraz plików, dlatego my¶lę, że warto po¶więcić im chwilę. Redhat 7.3/8/9 już go ma. Zainstaluj po prostu RPM (tutaj dla Redhat 7.3):

# rpm -Uvh /path/to/your/Redhat/RPM/strace-4.4-4.i386.rpm

Teraz jeste¶ jeden krok dalej w diagnozowaniu swojego systemu. Syscalltracker daje użytkownikowi elastyczno¶ć i możliwo¶ć nauczenia się czego¶ o wywołaniach systemowych. Dodatkowo je¶li chcesz zobaczyć wszystkie reguły, które zostały załadowane, wpisz:

# sct_config download

Aby usun±ć wszystkie załadowane reguły wpisz:

# sct_config delete

I w końcu, je¶li nie potrzebujesz już Syscalltracker'a możesz usun±ć go z pamięci:

# sct_unload

Istnieje możliwo¶ć, że tej komendzie nie uda się usun±ć Syscalltrackera i uzyskamy ostrzeżenie "Device or resource busy". Je¶li tak się stanie, prawdopodobnie Syscalltracker co¶ jeszcze wykonuje. Daj mu chwilę i spróbuj jeszcze raz. Syscalltracker jest bezpieczny dla systemu i nie obci±ża go nadmiernie (o ile oczywi¶cie nie wrzucimy ton reguł :-)). Wniosek: Po prostu pozwól Syscalltracker'owi wykonywać jego robotę. Dostarczając mu odpowiednich reguł, bedziesz mogł zacz±ć obserwować swój system bardziej dokładnie.