通（tōng）過綜合采用用戶級別的top、ps等係統工具以（yǐ）及Linux內核防（fáng）護技術，我們可以（yǐ）從（cóng）用戶/內核兩個層次全方位地保護Linux係（xì）統中重要係統進程以（yǐ）及用戶進程的安全性。

經典的信息（xī）保密性安全模型Bell-LaPadula模型指出，進程是整個計算機係統的一（yī）個主體，它需要通（tōng）過一定的安全等級來（lái）對客體（tǐ）發生作用。進（jìn）程在一定條件下可以對諸如文件、數（shù）據庫等客體進行操作。如（rú）果進（jìn）程用作其他不法用（yòng）途，將給係統帶（dài）來重大危害。在現實生（shēng）活當中，許（xǔ）多網絡黑（hēi）客（kè）都是通（tōng）過種植“木馬”的辦法來達到破壞計算機係統和入侵的目的，而這（zhè）些“木馬”程序無（wú）一例外（wài）的（de）是需要通過（guò）進程這一方式在機器上運行才能發揮作用的。另外，許多破壞程序和攻擊手段都需要通過破壞目標計算機係統的合法進程尤其是重要係統（tǒng）進程，使得係統不能完成（chéng）正常的工作甚至無（wú）法工作，從（cóng）而達到摧毀目標計算機係統的目的。作為服（fú）務器中占絕大多數市場份額的Linux係統，要切（qiē）實保證計算機係統的安全，我們必須對其進程（chéng）進行監控和保護。

用戶級進程監控工具

Linux係統提供了who、w、ps和（hé）top等（děng）察看進程信息的係（xì）統調用，通過結合使用這些係統調用（yòng），我（wǒ）們可以清晰地了解進程（chéng）的運行狀態以及存活情況，從而采（cǎi）取相應的措施，來確保Linux係統的安（ān）全。它們是目前（qián）在Linux下最常見的進程狀況（kuàng）查看工具，它們是隨（suí）Linux套件發行（háng）的，安裝好係統之後，用戶就可以使用。

1、who命令：該命令主要用於查看當前在線（xiàn）上的用（yòng）戶情況。係統管理員可以使用who命令監視每個登錄（lù）的用（yòng）戶此時此（cǐ）刻的所作所為。

2、w命（mìng）令：該命令也用於顯示登錄到係統的用戶情況，但是與who不同的是（shì），w命令功（gōng）能更加強大，它不但可以顯示有誰登錄到（dào）係統，還可以顯示出這些用戶當前正在進行的工作，w命令是who命令的一個增強版。

3、ps命（mìng）令：該命令是（shì）最基本（běn）同時也（yě）是（shì）非常強大的（de）進程（chéng）查（chá）看（kàn）命令。利用它可以（yǐ）確定有哪些進程正在（zài）運行及運行的狀態、進程是否結束、進程有沒有僵（jiāng）死、哪些進程占（zhàn）用了過多的資源等。ps命令（lìng）可以監控後台進程的工作情況（kuàng），因為後台進程是不和屏幕鍵盤這些標（biāo）準輸（shū）入（rù）/輸出設備進行通信的，如果需要檢測其情況（kuàng），可以使（shǐ）用ps命令。

4、top命令：top命令和ps命令的基本作用是（shì）相同（tóng）的，顯示係統當前的（de）進程及其狀態，但是（shì）top是一個動態顯示過程，可以通（tōng）過用戶按鍵來不斷（duàn）刷新當前狀態。如果在前台執行該命令，它將獨占前台，直到用戶終（zhōng）止該程（chéng）序為止。比較準確地（dì）說，top命令提供了實時的對係統處理器的狀態監視。它可以顯示係統中CPU最“敏感”的任務列表。該命令可以按CPU使用、內存使用和執行時間對任務進行排序，而且它的很多特性都可以（yǐ）通過交互式命令或者在個人定製文（wén）件中進行（háng）設定。

需重點監控的一些進程（chéng）

由上麵的介（jiè）紹可知（zhī），Linux提供的這些命令都能提供（gòng）關於進程（chéng）的一些（xiē）信息，可以通過它們查看係統當前的進程狀況，也可以找（zhǎo）出那些占用了過多係統資源的進程並結束該進程。它們的優點在於速度快，透明性好（hǎo），直觀明（míng）了。下（xià）表給出了Linux係統中較為常見的重要的進程(沒有完全列出，用戶（hù）可以參考相（xiàng）應（yīng）的（de）資料（liào）)，用戶可以采用（yòng）上述工具來（lái）實時的（de）監測這些重要進程的情況，並采取相應的防護措施。

係統調用存在缺點

我們（men）上述（shù）所介紹的進程監控方法和工具都是基於調用操作係統給我們提供的（de）相應的API接口函數或者係統調用來實現的。我（wǒ）們所得到的隻是接口函數處理（lǐ）後的結果，不能夠主動（dòng）地從操作係統（tǒng）內核的進程數據結構當（dāng）中獲取（qǔ）我們需要的信息。因而（ér），它們具有如下缺點：

1、傳統（tǒng）的（de）進程監控方（fāng）法運行效（xiào）率比（bǐ）較低，同時反應時間也比（bǐ）較長，實時性能差。

2、不（bú）能夠實時、高效地向（xiàng）用戶報告當前係統運行的安全狀（zhuàng）況（kuàng），就算係統中（zhōng）有不法進程在運行，係統也不能識別出來。

3、不能給用戶（hù）捕捉不法進（jìn）程的行為提供證據和進程的活動（dòng）軌（guǐ）跡。當一個不法進程運（yùn）行並（bìng）對係統產生破壞時，用戶（hù）即使通過察看進程列表找到了不合法（fǎ）的進程，也不清楚到（dào）底從進（jìn）程（chéng）開始運行直到捕捉到這樣一個不（bú）法進程這樣一段時間內，進程都對（duì）係統（tǒng）造成了哪些破壞，比如說，訪問、修（xiū）改了哪些重要的係統文件，占用了哪些係統資源等等。這些都給以（yǐ）後的恢複和處理工作帶來了很大的問題。

4、執行程序工作（zuò）在用戶態，本身就不安全，入侵（qīn）係統的黑客可以輕鬆地找到這些進程監控程序的磁盤映像，進行刪除甚至替換，從而會給係統帶來不可估量的損失。這一點尤其需要強調，比如說，黑（hēi）客入侵係統成功，就可以植入他們所改寫的ps程序以替換原來係統的ps程序，這樣就使得用戶不能通（tōng）過該工具得知係統中（zhōng）當前運行的不法進程，這樣無論黑客如何植入木馬或者（zhě）其他程序，用戶都無法知道，從而無法采取措施終止這些（xiē）行為。不言而喻，這樣的後果是很嚴（yán）重的。而在我們下麵所要介紹的一（yī）種（zhǒng）運（yùn）行於（yú）內核的進程監控程序（xù）當中，黑客根本無法或者很難（nán）深入內核來破壞該進程監控程（chéng）序，從而使其能夠很好地保證自身的安全。

基於上述種種不足，我們提出了在Linux內核中實現進程實時監控的原理和技術。該技術主要分（fèn）為以下幾個步驟：

首先（xiān），在“幹淨”的係統環境下，全麵地運行係統中的（de）安全進程，分析和搜集Linux環境下這些進程的相（xiàng）關信息(包（bāo）括進程ID號、進程（chéng）名稱、進（jìn）程可執行映像、進程的開始時間（jiān）、進程的父（fù）進程等主要信息)，形成一張“係統安全進程列表”，作為進程監控的依據（jù）。

接著，監控代碼在進（jìn）程調度過程中實時（shí）地搜集係統中運行進程的信息。如果發現進程（chéng）不在 “係統安全進程列表”當中，則馬上通過終端輸出該進程的（de）PID號、名稱、進（jìn）程的可執行映像等信息，或者通過聲音向用戶報警，等待用戶處理，在這（zhè）個等待的過程中，終止調度該進程，直到用戶做出響應(放行該進程（chéng）或者殺死該進程)。

在第二步當（dāng）中，如果超級用戶(係統管理員)放行了該進程，則可以（yǐ）將該進程加入“係統安全進程列表”，以完（wán）善該列（liè）表;如果是一般用戶（hù）在使用過程當中放行了某（mǒu）個進程，那（nà）麽，需要將該用戶（hù）的用戶名和身份記（jì）錄（lù）下來，並且將放行的進程記錄（lù）下（xià）來存為日誌，那麽，當（dāng）超級用戶(係統管理員（yuán）)無論是在審（shěn）核用戶行為（wéi）還是（shì）在（zài）修改“係統安全進程列表”時（shí），都是一個有力的依據。

另外，在係統運行（háng）過程當中，如果發現“係統安全進程列表（biǎo）”當（dāng）中的某些重要的進程 (包括kswapd、bdflush等)不（bú）在運行，則馬上將該進程“遺（yí）失”的（de）信息存入文件，以備在係統的恢複過（guò）程（chéng）當中，對它（tā）們進行針對性的恢（huī）複（fù），根據不同的情（qíng）況，有的需要馬上停（tíng）機，恢複進程，有的則（zé）可以（yǐ）現場恢複。