Linux ရှိ အတုအယောင် ဖိုင်စနစ်များ- အဘယ်ကြောင့် လိုအပ်သနည်း၊ ၎င်းတို့ မည်သို့ အလုပ်လုပ်သနည်း။ အပိုင်း 2

အားလုံးပဲမင်္ဂလာပါ၊ ကျွန်ုပ်တို့သည် "Linux ရှိ အတုအယောင်ဖိုင်စနစ်များ ထုတ်ဝေမှု၏ ဒုတိယအပိုင်းကို သင်နှင့် မျှဝေနေသည်- အဘယ်ကြောင့် လိုအပ်သနည်း၊ ၎င်းတို့သည် မည်သို့လုပ်ဆောင်ကြသနည်း။" ပထမပိုင်းကို ဖတ်ရှုနိုင်ပါတယ်။ ဒီမှာ. သင်တန်းတွင် ထုတ်လွှင့်မှုအသစ်တစ်ခု စတင်ခြင်းနှင့်အတူ ဤစီးရီးများ၏ ထုတ်ဝေမှုများသည် အချိန်သတ်မှတ်ထားကြောင်း သင့်အား သတိပေးကြပါစို့။ "Linux စီမံခန့်ခွဲသူ"မကြာမီစတင်သည်။

eBPF နှင့် bcc ကိရိယာများကို အသုံးပြု၍ VFS ကိုမည်သို့စောင့်ကြည့်ရမည်နည်း။

Kernel သည် ဖိုင်များပေါ်တွင် မည်သို့လုပ်ဆောင်သည်ကို နားလည်ရန် အလွယ်ကူဆုံးနည်းလမ်း sysfs ၎င်းကိုလက်တွေ့မြင်ရန်ဖြစ်ပြီး ARM64 ကိုကြည့်ရှုရန်အလွယ်ကူဆုံးနည်းလမ်းမှာ eBPF ကိုအသုံးပြုခြင်းဖြစ်သည်။ eBPF (Berkeley Packet Filter ၏ အတိုကောက်) တွင် အလုပ်လုပ်နေသော virtual machine တစ်ခု ပါဝင်သည်။ အူတိုင်အခွင့်ထူးခံအသုံးပြုသူများ တောင်းဆိုနိုင်သည့် (query) command line မှ kernel ရင်းမြစ်များသည် kernel လုပ်နိုင်သည်ကို စာဖတ်သူကို ပြောပြသည်၊ loaded system တွင် eBPF ကိရိယာများကို လည်ပတ်ခြင်းသည် kernel အမှန်တကယ် လုပ်ဆောင်နေသည်များကို ပြသသည်။

ကံကောင်းစွာဖြင့်၊ eBPF ကို စတင်အသုံးပြုခြင်းသည် ကိရိယာများ၏အကူအညီဖြင့် အလွန်လွယ်ကူပါသည်။ ဘီစီအထွေထွေဖြန့်ဖြူးမှုမှ ပက်ကေ့ခ်ျများအဖြစ် ရရှိနိုင်ပါသည်။ Linux ကို အသေးစိပ် မှတ်တမ်းတင်ထားပါတယ်။ Bernard Gregg. ကိရိယာများ bcc C ကုဒ်အသေးစားထည့်သွင်းထားသော Python scripts များဖြစ်ကြသည်၊ ဆိုလိုသည်မှာ ဘာသာစကားနှစ်ခုလုံးနှင့်ရင်းနှီးသူတိုင်း ၎င်းတို့ကို အလွယ်တကူမွမ်းမံပြင်ဆင်နိုင်သည်။ IN bcc/tools Python script ပေါင်း 80 ရှိပြီး၊ ဆိုလိုသည်မှာ developer သို့မဟုတ် system administrator သည် ပြဿနာဖြေရှင်းရန်အတွက် သင့်လျော်သောအရာကို ရွေးချယ်နိုင်လိမ့်မည်ဖြစ်သည်။
VFSs သည် လည်ပတ်နေသည့်စနစ်တွင် လုပ်ဆောင်သည့်အလုပ်အတွက် အနည်းဆုံး အပေါ်ယံစိတ်ကူးတစ်ခုရရန်၊ စမ်းကြည့်ပါ။ vfscount သို့မဟုတ် vfsstat. ဒါဇင်နဲ့ချီတဲ့ခေါ်ဆိုမှုလို့ ဆိုကြပါစို့ vfs_open() စက္ကန့်တိုင်းတွင် “သူ့သူငယ်ချင်းများ” သည် စာသားအတိုင်းဖြစ်ပျက်နေသည်။

vfsstat.py VFS လုပ်ဆောင်ချက်ခေါ်ဆိုမှုများကို ရိုးရိုးရေတွက်နိုင်သော C ကုဒ်ထည့်သွင်းမှုများပါရှိသော Python script တစ်ခုဖြစ်သည်။

နောက်ထပ်အသေးအဖွဲဥပမာတစ်ခုပေးကာ ကွန်ပျူတာထဲသို့ USB flash drive ကိုထည့်လိုက်သောအခါတွင် ဘာဖြစ်သွားသည်ကိုကြည့်ရအောင်။

eBPF ကို အသုံးပြု၍ ဖြစ်ပျက်နေသည့်အရာများကို သင်မြင်နိုင်သည်။ /sysUSB flash drive ကိုထည့်သွင်းသောအခါ။ ရိုးရှင်းပြီး ရှုပ်ထွေးသော ဥပမာကို ဤနေရာတွင် ပြထားသည်။

အထက်ဖော်ပြပါ ဥပမာတွင်၊ bcc tool တစ်ခု trace.py command ကို run သောအခါ မက်ဆေ့ခ်ျကို print ထုတ်သည်။ sysfs_create_files(). အဲဒါကို မြင်တယ်။ sysfs_create_files() စတင်အသုံးပြုခဲ့သည်။ kworker flash drive ကိုထည့်သွင်းခဲ့သည်ဟူသောအချက်ကိုတုံ့ပြန်သည့်အနေဖြင့်ထုတ်လွှင့်သော်လည်းမည်သည့်ဖိုင်ကိုဖန်တီးထားသနည်း။ ဒုတိယဥပမာတွင် eBPF ၏စွမ်းအားကိုပြသသည်။ ဒီမှာ trace.py kernel backtrace (-K option) နှင့် ဖန်တီးထားသည့် ဖိုင်အမည်ကို ပရင့်ထုတ်ပါ။ sysfs_create_files(). တစ်ခုတည်းသောထုတ်ပြန်ချက်ထည့်သွင်းခြင်းသည် LLVM ကိုလုပ်ဆောင်သည့် Python script မှပံ့ပိုးပေးသောအလွယ်တကူမှတ်မိနိုင်သောဖော်မတ်စာတန်းတစ်ခုပါဝင်သည့် C ကုဒ်ဖြစ်သည်။ just-in-time compiler. ၎င်းသည် ဤစာကြောင်းကို စုစည်းပြီး kernel အတွင်းရှိ virtual machine တွင် လုပ်ဆောင်သည်။ လုပ်ဆောင်ချက် လက်မှတ်အပြည့်အစုံ sysfs_create_files () format string သည် parameters များထဲမှ တစ်ခုကို ရည်ညွှန်းနိုင်စေရန် ဒုတိယ command ဖြင့် ပြန်ထုတ်ပေးရပါမည်။ ဤ C ကုဒ်အပိုင်းအစရှိ အမှားများသည် C compiler မှ မှတ်မိနိုင်သော အမှားများ ဖြစ်ပေါ်ပါသည်။ ဥပမာအားဖြင့်၊ -l ပါရာမီတာကို ချန်လှပ်ထားလျှင် "BPF စာသားကို စုစည်း၍မရပါ။" C နှင့် Python နှင့်ရင်းနှီးသော developer များသည် tools များကိုရှာတွေ့လိမ့်မည်။ bcc ချဲ့ထွင်ရန်နှင့် ပြောင်းလဲရန် လွယ်ကူသည်။

USB drive ကိုထည့်သွင်းသောအခါ၊ kernel backtrace သည် PID 7711 သည် thread တစ်ခုဖြစ်ကြောင်းပြသလိမ့်မည် kworkerဖိုင်ကိုဖန်တီးခဲ့သည်။ «events» в sysfs. သို့ဖြစ်ရာ ထံမှ ဖုန်းခေါ်သည်။ sysfs_remove_files() drive ကို ဖယ်ရှားလိုက်ခြင်းက ဖိုင်ကို ဖျက်ပစ်လိုက်ကြောင်း ပြသပါလိမ့်မယ်။ eventsရည်ညွှန်းရေတွက်ခြင်း၏ ယေဘုယျသဘောတရားနှင့် ကိုက်ညီသော၊ တစ်ချိန်တည်းမှာပင် ကြည့်ရှုနေပါသည်။ sysfs_create_link () USB drive ကိုထည့်သွင်းစဉ် eBPF ဖြင့် အနည်းဆုံး သင်္ကေတလင့်ခ် ၄၈ ခု ဖန်တီးထားကြောင်း ပြသမည်ဖြစ်သည်။

ဒါဆို Event ဖိုင်ရဲ့ အဓိပ္ပါယ်က ဘာလဲ။ အသုံးပြုမှု cscope ရှာဖွေရန် __device_add_disk()၊ ၎င်းသည်ဘာကိုဖြစ်စေသည်ကိုပြသသည်။ disk_add_events ()နှင့်လည်းကောင်း "media_change"သို့မဟုတ် "eject_request" အဖြစ်အပျက်ဖိုင်တွင် မှတ်တမ်းတင်နိုင်သည်။ ဤတွင် kernel ပိတ်ဆို့ခြင်းအလွှာသည် "ဒစ်ခ်" ပေါ်လာပြီး ထုတ်လိုက်ကြောင်း သုံးစွဲသူအာကာသကို အသိပေးသည်။ USB ဒရိုက်ကို ထည့်သွင်းခြင်းဖြင့် အရာများသည် အရင်းအမြစ်မှ သက်သက်အလုပ်လုပ်ပုံကို တွက်ဆရန် ကြိုးစားခြင်းနှင့် နှိုင်းယှဉ်ပါက ဤသုတေသနနည်းလမ်းသည် မည်မျှ သတင်းအချက်အလက်ပေးနိုင်သည်ကို သတိပြုပါ။

Read-only root ဖိုင်စနစ်များသည် မြှုပ်သွင်းထားသော စက်များကို ဖွင့်ပေးသည်။

ဟုတ်ပါတယ်၊ ပလပ်ပေါက်မှ ပလပ်ကိုဆွဲခြင်းဖြင့် ဆာဗာ သို့မဟုတ် ၎င်းတို့၏ကွန်ပျူတာကို မည်သူမျှ မပိတ်ပါ။ ဒါနဲ့ဘာဖြစ်လို့လဲ? အဘယ်ကြောင့်ဆိုသော် ရုပ်ပိုင်းဆိုင်ရာ သိုလှောင်ကိရိယာများတွင် တပ်ဆင်ထားသော ဖိုင်စနစ်များသည် စာရေးရာတွင် နောက်ကျနေနိုင်ပြီး ၎င်းတို့၏ အခြေအနေအား မှတ်တမ်းတင်သည့် ဒေတာဖွဲ့စည်းပုံများသည် သိုလှောင်ခန်းသို့ စာရေးခြင်းနှင့် ထပ်တူပြု၍မရသောကြောင့် ဖြစ်သည်။ ထိုသို့ဖြစ်လာသောအခါ၊ စနစ်ပိုင်ရှင်များသည် utility ကိုဖွင့်ရန်နောက်ထပ်ဖွင့်ချိန်အထိစောင့်ရပါမည်။ fsck filesystem-recovery နှင့် အဆိုးဆုံးမှာ ဒေတာ ဆုံးရှုံးခြင်း ဖြစ်သည်။

သို့သော်လည်း၊ IoT စက်ပစ္စည်းအများအပြားအပြင် routers၊ အပူချိန်ထိန်းကိရိယာများနှင့် ကားများသည် ယခုအခါ Linux ကို အသုံးပြုနေပြီဟု ကျွန်ုပ်တို့အားလုံးသိပါသည်။ ဤစက်ပစ္စည်းအများစုတွင် အသုံးပြုသူမျက်နှာပြင်အနည်းငယ်မျှသာရှိပြီး ၎င်းတို့ကို "သန့်ရှင်းစွာ" ပိတ်ရန်နည်းလမ်းမရှိပါ။ ထိန်းချုပ်ယူနစ်သို့ ပါဝါရှိသောအခါ ဘက်ထရီသေသွားသော ကားတစ်စီးကို စတင်မြင်ယောင်ကြည့်ပါ။ Linux ကို အဆက်မပြတ် ခုန်တက်သွားသည်။ အကြာကြီးမပါပဲ system boot တက်တာ ဘယ်လိုလဲ။ fsckအင်ဂျင်က ဘယ်အချိန်မှာ စတင်လည်ပတ်တာလဲ။ ပြီးတော့ အဖြေက ရိုးရှင်းပါတယ်။ ထည့်သွင်းထားသော စက်များသည် အမြစ်ဖိုင်စနစ်အပေါ် အားကိုးသည်။ စာဖတ်ခြင်းအတွက်သာ (အတိုကောက် ro-rootfs (ဖတ်ရန်-သီးသန့် root ဖိုင်စနစ်))။

ro-rootfs စစ်မှန်ခြင်းထက် မသိသာသော အကျိုးကျေးဇူးများစွာကို ပေးဆောင်သည်။ အားသာချက်တစ်ခုကတော့ malware က စာရေးလို့မရပါဘူး။ /usr သို့မဟုတ် /libLinux process မရှိရင် အဲဒီမှာရေးလို့ရတယ်။ နောက်တစ်ချက်မှာ ပံ့ပိုးမှုဝန်ထမ်းများသည် နယ်ပယ်စနစ်များနှင့် အမည်ခံတူညီသော ဒေသန္တရစနစ်များကို အားကိုးသောကြောင့် အလွန်မပြောင်းလဲနိုင်သော ဖိုင်စနစ်သည် အဝေးထိန်းကိရိယာများ၏ နယ်ပယ်ပံ့ပိုးမှုအတွက် အရေးကြီးပါသည်။ အရေးအကြီးဆုံး (ဒါပေမယ့်လည်း အဆိုးဆုံး) အကျိုးကျေးဇူးကတော့ ro-rootfs က developer တွေကို ဘယ် system objects တွေက system ရဲ့ design stage မှာ မပြောင်းလဲနိုင်ဘူးဆိုတာ ဆုံးဖြတ်ဖို့ တွန်းအားပေးနေတာဖြစ်ပါတယ်။ const variable များသည် ပရိုဂရမ်းမင်းဘာသာစကားများဖြင့် မကြာခဏဖြစ်နေသောကြောင့် ro-rootfs နှင့်အလုပ်လုပ်ခြင်းသည် အဆင်မပြေဖြစ်ပြီး နာကျင်နိုင်သည်။ သို့သော် ၎င်းတို့၏အကျိုးခံစားခွင့်များသည် အပိုဆောင်းပိုစ့်များကို အလွယ်တကူမျှတစေသည်။

ဖန်တီးခြင်း rootfs Read-only သည် မြှုပ်သွင်းထားသော developer များအတွက် အပိုအားထုတ်မှုအချို့ လိုအပ်ပြီး ၎င်းသည် VFS ပုံတွင်ပါလာသည်။ Linux တွင် ဖိုင်များရှိနေရန် လိုအပ်သည်။ /var ရေး၍ရနိုင်သည်၊ ထို့အပြင်၊ မြှုပ်သွင်းထားသောစနစ်များကိုသုံးသည့် နာမည်ကြီး application အများအပြားသည် configuration ကိုဖန်တီးရန်ကြိုးစားလိမ့်မည်။ dot-files в $HOME. home directory ရှိ configuration ဖိုင်များအတွက် ဖြေရှင်းချက်တစ်ခုမှာ များသောအားဖြင့် ၎င်းတို့ကို ကြိုတင်ထုတ်လုပ်ပြီး တည်ဆောက်ရန်ဖြစ်သည်။ rootfs။ အတွက် /var ဖြစ်နိုင်သောနည်းလမ်းတစ်ခုမှာ ၎င်းကို သီးခြားရေးနိုင်သော အခန်းကန့်တစ်ခုပေါ်တွင် တပ်ဆင်ရန်ဖြစ်သည်။ / ဖတ်ရန်သာ တပ်ဆင်ထားသည်။ လူကြိုက်များသော အခြားရွေးချယ်စရာမှာ bind သို့မဟုတ် overlay mount များကို အသုံးပြုရန်ဖြစ်သည်။

ချိတ်ဆက်နိုင်သော နှင့် stackable mount များ ၊ ကွန်တိန်နာများဖြင့် ၎င်းတို့၏ အသုံးပြုမှု

အမိန့်ကို အကောင်အထည်ဖော်ခြင်း။ man mount bindable နှင့် overlayable mounts များအကြောင်း လေ့လာရန် အကောင်းဆုံးနည်းလမ်းမှာ developer များနှင့် system administrator များအား လမ်းကြောင်းတစ်ခုတွင် file system တစ်ခုဖန်တီးနိုင်ပြီး အခြား application များတွင် ဖော်ထုတ်နိုင်စေမည့် အကောင်းဆုံးနည်းလမ်းဖြစ်သည်။ မြှုပ်သွင်းထားသော စနစ်များအတွက်၊ ၎င်းသည် ဖိုင်များကို သိမ်းဆည်းနိုင်မှုကို ဆိုလိုသည်။ /var read-only flash drive တွင်၊ ဒါပေမယ့် overlay သို့မဟုတ် linkable mount path တို့မှ tmpfs в /var တင်သည့်အခါ၊ ၎င်းသည် အပလီကေးရှင်းများကို ထိုနေရာတွင် မှတ်စုများရေးရန် ခွင့်ပြုလိမ့်မည် (scrawl)။ နောက်တစ်ကြိမ်တွင် ပြောင်းလဲမှုများကို ဖွင့်ပါ။ /var ဆုံးရှုံးလိမ့်မည်။ ထပ်ဆင့် mount တစ်ခုသည် ကြားတွင် ပြည်ထောင်စုတစ်ခု ဖန်တီးပေးသည်။ tmpfs နှင့် အရင်းခံ ဖိုင်စနစ် နှင့် ရှိပြီးသား ဖိုင်များ တွင် ထင်ထင်ရှားရှား ပြောင်းလဲမှုများ ပြုလုပ်ရန် ခွင့်ပြု သည် ro-tootf bindable mount သည် အသစ်များကို ဗလာဖြစ်စေနိုင်သည်။ tmpfs ရေးမှတ်ထားသည့်အတိုင်း မြင်နိုင်သော ဖိုင်တွဲများ ro-rootfs နည်းလမ်းများ။ စဉ်တွင် overlayfs ဒါ မှန်တယ် (proper) ဖိုင်စနစ်အမျိုးအစား၊ bindable mount ကိုအကောင်အထည်ဖော်သည်။ VFS namespace.

ထပ်ဆင့်နှင့် ချိတ်ဆက်နိုင်သော တောင်၏ ဖော်ပြချက်အပေါ် အခြေခံ၍ ယင်းကို မည်သူမျှ မအံ့သြပါ။ Linux ကွန်တိန်နာများ တက်ကြွစွာအသုံးပြုကြသည်။ သုံးတဲ့အခါ ဘာဖြစ်သွားလဲ ကြည့်ရအောင် systemd-nspawn ပါ tool ကိုသုံးပြီး container ကို run ဖို့ mountsnoop от bcc.

ခေါ်ဆိုခ system-nspawn လည်ပတ်နေစဉ် ကွန်တိန်နာကို စတင်သည်။ mountsnoop.py.

ဘာဖြစ်သွားလဲ ကြည့်ရအောင်။

ပစ်လွှတ် mountsnoop ကွန်တိန်နာသည် "booting" ဖြစ်နေချိန်တွင် ကွန်တိန်နာ၏ runtime သည် ချိတ်ဆက်ထားသည့် mount ပေါ်တွင် အလွန်မူတည်ကြောင်းပြသသည် (ရှည်လျားသော output ၏အစကိုပြသထားသည်)။

ဒါဟာဖြစ်ပါတယ် systemd-nspawn ရွေးချယ်ထားသောဖိုင်များကို ထောက်ပံ့ပေးသည်။ procfs и sysfs ၎င်းသို့သွားရာလမ်းများအဖြစ် ကွန်တိန်နာတွင် လက်ခံထားရှိပါ။ rootfs။ မှလွဲ MS_BIND binding mount ကို သတ်မှတ်သည့် အလံ၊ တောင်ပေါ်ရှိ အခြားအလံအချို့သည် host နှင့် container namespaces သို့ ပြောင်းလဲမှုများကြား ဆက်နွယ်မှုကို သတ်မှတ်သည်။ ဥပမာအားဖြင့်၊ ချိတ်ဆက်ထားသော mount သည် ပြောင်းလဲမှုများကို ကျော်သွားနိုင်သည်။ /proc и /sys ကွန်တိန်နာထဲသို့ သို့မဟုတ် ခေါ်ဆိုမှုပေါ်မူတည်၍ ၎င်းတို့ကို ဝှက်ထားပါ။

ကောက်ချက်

kernel တွင် ကုဒ်များစွာပါရှိသောကြောင့် Linux ၏အတွင်းပိုင်းလုပ်ဆောင်မှုများကို နားလည်ခြင်းသည် မဖြစ်နိုင်သောအလုပ်တစ်ခုလိုထင်ရနိုင်ပြီး၊ Linux အသုံးပြုသူနေရာလွတ်အပလီကေးရှင်းများနှင့် C libraries များကဲ့သို့သော C libraries များရှိ system call interfaces များကိုဘေးဖယ်ထားသောကြောင့်၊ glibc. တိုးတက်မှုဖြစ်စေရန် နည်းလမ်းတစ်ခုမှာ စနစ်ခေါ်ဆိုမှုများနှင့် အသုံးပြုသူ-အာကာသ ခေါင်းစီးများအပြင် ဇယားကဲ့သို့သော ပင်မအတွင်းပိုင်း kernel အင်တာဖေ့စ်များကို နားလည်မှုဖြင့် ကာနယ်ခွဲစနစ်တစ်ခု၏ အရင်းအမြစ်ကုဒ်ကို ဖတ်ရန်ဖြစ်သည်။ file_operations. ဖိုင်လည်ပတ်မှုများသည် "အရာရာသည် ဖိုင်တစ်ခုဖြစ်သည်" နိယာမကို ပံ့ပိုးပေးသောကြောင့် ၎င်းတို့ကို စီမံခန့်ခွဲရန် အထူးနှစ်သက်ဖွယ်ဖြစ်သည်။ C kernel အရင်းအမြစ်ဖိုင်များသည် ထိပ်တန်းအဆင့်လမ်းညွှန်တွင်ရှိသည်။ fs/ လူကြိုက်များသော ဖိုင်စနစ်များနှင့် သိုလှောင်မှုကိရိယာများကြားတွင် ကျယ်ပြန့်ပြီး အတော်လေးရိုးရှင်းသော တွဲဖက်အသုံးပြုနိုင်သည့် ထုပ်ပိုးအလွှာဖြစ်သည့် virtual ဖိုင်စနစ်များ၏ အကောင်အထည်ဖော်မှုကို တင်ပြပါ။ Linux namespaces မှတစ်ဆင့် ချိတ်ဆက်ခြင်းနှင့် ထပ်ဆင့်တပ်ဆင်ခြင်းသည် ဖတ်ရှုရန်သီးသန့်ကွန်တိန်နာများနှင့် root ဖိုင်စနစ်များကို ဖန်တီးနိုင်စေသည့် VFS ၏ မှော်ဆန်မှုဖြစ်သည်။ အရင်းအမြစ်ကုဒ်၏စစ်ဆေးမှု၊ eBPF core tool နှင့် ၎င်း၏ interface တို့နှင့်အတူ ပေါင်းစပ်ထားသည်။ bcc
ပင်မရှာဖွေရေးသည် ယခင်ကထက် ပိုမိုလွယ်ကူစေသည်။

သူငယ်ချင်းတို့ရေ၊ ဒီဆောင်းပါးက သင့်အတွက် အသုံးဝင်ပါသလား။ သင့်တွင် မှတ်ချက်များ သို့မဟုတ် မှတ်ချက်များ ရှိကောင်းရှိနိုင်ပါသလား။ Linux Administrator သင်တန်းကို စိတ်ဝင်စားတဲ့ သူတွေကို ဖိတ်ခေါ်ပါတယ်။ ဖွင့်ပွဲနေ့ဧပြီလ (၁၈)ရက်နေ့တွင် ကျင်းပပြုလုပ်မည်ဖြစ်ပါသည်။

ပထမဦးဆုံးအစိတျအပိုငျး။

source: www.habr.com