Uwaga : Teraz utrzymuję lsof
opakowanie, które łączy oba opisane tutaj podejścia, a także dodaje informacje dla peerów połączeń zwrotnych TCP na https://github.com/stephane-chazelas/misc-scripts/blob/master/lsofc
Linux-3.3 i nowsze wersje.
W systemie Linux, ponieważ jądro w wersji 3.3 (i pod warunkiem, że UNIX_DIAG
funkcja jest wbudowana w jądro), element równorzędny danego gniazda domeny unix (obejmuje pary gniazd) można uzyskać za pomocą nowego interfejsu API opartego na netlink .
lsof
ponieważ wersja 4.89 może korzystać z tego interfejsu API:
lsof +E -aUc Xorg
Wyświetli listę wszystkich gniazd domeny Unix, które mają proces, którego nazwa zaczyna się Xorg
na dowolnym końcu, w formacie podobnym do:
Xorg 2777 root 56u unix 0xffff8802419a7c00 0t0 34036 @/tmp/.X11-unix/X0 type=STREAM ->INO=33273 4120,xterm,3u
Jeśli Twoja wersja lsof
jest za stara, istnieje kilka innych opcji.
ss
Gospodarczy (z iproute2
) sprawia, że korzystanie z tego samego API do pobierania i wyświetlania informacji na liście gniazd domeny UNIX w systemie, w tym informacji o partnerze.
Gniazda są identyfikowane przez ich numer i-węzła . Zauważ, że nie jest to związane z i-węzłem systemu plików pliku gniazda.
Na przykład w:
$ ss -x
[...]
u_str ESTAB 0 0 @/tmp/.X11-unix/X0 3435997 * 3435996
mówi, że gniazdo 3435997 (które było powiązane z gniazdem ABSTRACT /tmp/.X11-unix/X0
) jest połączone z gniazdem 3435996. Ta -p
opcja pozwala określić, które procesy mają otwarte to gniazdo. Robi to, wykonując kilka readlink
s /proc/$pid/fd/*
, więc może to zrobić tylko w procesach, które posiadasz (chyba że jesteś root
). Na przykład tutaj:
$ sudo ss -xp
[...]
u_str ESTAB 0 0 @/tmp/.X11-unix/X0 3435997 * 3435996 users:(("Xorg",pid=3080,fd=83))
[...]
$ sudo ls -l /proc/3080/fd/23
lrwx------ 1 root root 64 Mar 12 16:34 /proc/3080/fd/83 -> socket:[3435997]
Aby dowiedzieć się, jaki proces (y) ma 3435996, możesz poszukać własnego wpisu w wynikach ss -xp
:
$ ss -xp | awk '$6 == 3435996'
u_str ESTAB 0 0 * 3435996 * 3435997 users:(("xterm",pid=29215,fd=3))
Możesz również użyć tego skryptu jako opakowania, lsof
aby łatwo pokazać odpowiednie informacje:
#! /usr/bin/perl
# lsof wrapper to add peer information for unix domain socket.
# Needs Linux 3.3 or above and CONFIG_UNIX_DIAG enabled.
# retrieve peer and direction information from ss
my (%peer, %dir);
open SS, '-|', 'ss', '-nexa';
while (<SS>) {
if (/\s(\d+)\s+\*\s+(\d+) ([<-]-[->])$/) {
$peer{$1} = $2;
$dir{$1} = $3;
}
}
close SS;
# Now get info about processes tied to sockets using lsof
my (%fields, %proc);
open LSOF, '-|', 'lsof', '-nPUFpcfin';
while (<LSOF>) {
if (/(.)(.*)/) {
$fields{$1} = $2;
if ($1 eq 'n') {
$proc{$fields{i}}->{"$fields{c},$fields{p}" .
($fields{n} =~ m{^([@/].*?)( type=\w+)?$} ? ",$1" : "")} = "";
}
}
}
close LSOF;
# and finally process the lsof output
open LSOF, '-|', 'lsof', @ARGV;
while (<LSOF>) {
chomp;
if (/\sunix\s+\S+\s+\S+\s+(\d+)\s/) {
my $peer = $peer{$1};
if (defined($peer)) {
$_ .= $peer ?
" ${dir{$1}} $peer\[" . (join("|", keys%{$proc{$peer}})||"?") . "]" :
"[LISTENING]";
}
}
print "$_\n";
}
close LSOF or exit(1);
Na przykład:
$ sudo that-lsof-wrapper -ad3 -p 29215
POLECENIE PID UŻYTKOWNIK TYP FD ROZMIAR URZĄDZENIA / WYŁĄCZ NAZWA NAZWY
xterm 29215 stephane 3u unix 0xffff8800a07da4c0 0t0 3435996 type = STREAM <-> 3435997 [Xorg, 3080, @ / tmp / .X11-unix / X0]
Przed linux-3.3
Stary Linux API do pobierania informacji o gniazdach unixowych jest za pośrednictwem /proc/net/unix
pliku tekstowego. Zawiera listę wszystkich gniazd domeny uniksowej (w tym par gniazd). Pierwsze pole tam (jeśli nie jest ukryte dla nieurządzających z kernel.kptr_restrict
parametrem sysctl), jak już wyjaśniono przez @Totor, zawiera adres jądra unix_sock
struktury zawierającej peer
pole wskazujące odpowiedni element równorzędny unix_sock
. To także dane lsof
wyjściowe dla DEVICE
kolumny w gnieździe Uniksa.
Teraz uzyskanie wartości tego peer
pola oznacza możliwość odczytu pamięci jądra i znania przesunięcia tego peer
pola względem unix_sock
adresu.
Podano już kilka rozwiązań gdb
opartych na i systemtap
opartych na nich, ale wymagają one gdb
/ systemtap
i symboli debugowania jądra Linuksa dla zainstalowanego jądra, co na ogół nie ma miejsca w systemach produkcyjnych.
Przesunięcie na stałe przesunięcia nie jest tak naprawdę opcją, ponieważ różni się w zależności od wersji jądra.
Teraz możemy użyć heurystycznego podejścia do określania przesunięcia: pozwól naszemu narzędziu utworzyć manekina socketpair
(wtedy znamy adres obu peerów) i wyszukaj adres peera wokół pamięci na drugim końcu, aby ustalić przesunięcie.
Oto skrypt perl
sprawdzający koncepcję, który właśnie to robi (pomyślnie przetestowany z jądrem 2.4.27 i 2.6.32 na i386 oraz 3.13 i 3.16 na amd64). Podobnie jak powyżej, działa jak opakowanie lsof
:
Na przykład:
$ that-lsof-wrapper -aUc nm-applet
POLECENIE PID UŻYTKOWNIK TYP FD ROZMIAR URZĄDZENIA / WYŁĄCZ NAZWA NAZWY
nm aplet 4183 Stephane 4u Unix 0xffff8800a055eb40 0T0 36888 Typ = STREAM -> 0xffff8800a055e7c0 [dbus-demon 4190 @ / tmp / dbus-AiBCXOnuP6]
nm aplet 4183 Stephane 7u Unix 0xffff8800a055e440 0T0 36890 Typ = STREAM -> 0xffff8800a055e0c0 [Xorg, 3080 @ / tmp / .X11 Unix / X0]
nm aplet 4183 Stephane 8U Unix 0xffff8800a05c1040 0T0 36201 Typ = STREAM -> 0xffff8800a05c13c0 [dbus-demon 4118 @ / tMP / dBUS-yxxNr1NkYC]
nm aplet 4183 Stephane 11U unix 0xffff8800a055d080 0T0 36219 Typ = STREAM -> 0xffff8800a055d400 [dbus-demon 4118 @ / tmp / dbus-yxxNr1NkYC]
nm aplet 4183 Stephane 12u unix 0xffff88022e0dfb80 0T0 36221 type = STREAM -> 0xffff88022e0df800 [dbus-demon 2268 / var / run / dbus / system_bus_socket]
nm-applet 4183 stephane 13u unix 0xffff88022e0f80c0 0t0 37025 typ = STREAM -> 0xffff88022e29ec00 [dbus-demon, 2268, / var / run / dbus / system_bus_socket]
Oto skrypt:
#! /usr/bin/perl
# wrapper around lsof to add peer information for Unix
# domain sockets. needs lsof, and superuser privileges.
# Copyright Stephane Chazelas 2015, public domain.
# example: sudo this-lsof-wrapper -aUc Xorg
use Socket;
open K, "<", "/proc/kcore" or die "open kcore: $!";
read K, $h, 8192 # should be more than enough
or die "read kcore: $!";
# parse ELF header
my ($t,$o,$n) = unpack("x4Cx[C19L!]L!x[L!C8]S", $h);
$t = $t == 1 ? "L3x4Lx12" : "Lx4QQx8Qx16"; # program header ELF32 or ELF64
my @headers = unpack("x$o($t)$n",$h);
# read data from kcore at given address (obtaining file offset from ELF
# @headers)
sub readaddr {
my @h = @headers;
my ($addr, $length) = @_;
my $offset;
while (my ($t, $o, $v, $s) = splice @h, 0, 4) {
if ($addr >= $v && $addr < $v + $s) {
$offset = $o + $addr - $v;
if ($addr + $length - $v > $s) {
$length = $s - ($addr - $v);
}
last;
}
}
return undef unless defined($offset);
seek K, $offset, 0 or die "seek kcore: $!";
my $ret;
read K, $ret, $length or die "read($length) kcore \@$offset: $!";
return $ret;
}
# create a dummy socketpair to try find the offset in the
# kernel structure
socketpair(Rdr, Wtr, AF_UNIX, SOCK_STREAM, PF_UNSPEC)
or die "socketpair: $!";
$r = readlink("/proc/self/fd/" . fileno(Rdr)) or die "readlink Rdr: $!";
$r =~ /\[(\d+)/; $r = $1;
$w = readlink("/proc/self/fd/" . fileno(Wtr)) or die "readlink Wtr: $!";
$w =~ /\[(\d+)/; $w = $1;
# now $r and $w contain the socket inodes of both ends of the socketpair
die "Can't determine peer offset" unless $r && $w;
# get the inode->address mapping
open U, "<", "/proc/net/unix" or die "open unix: $!";
while (<U>) {
if (/^([0-9a-f]+):(?:\s+\S+){5}\s+(\d+)/) {
$addr{$2} = hex $1;
}
}
close U;
die "Can't determine peer offset" unless $addr{$r} && $addr{$w};
# read 2048 bytes starting at the address of Rdr and hope to find
# the address of Wtr referenced somewhere in there.
$around = readaddr $addr{$r}, 2048;
my $offset = 0;
my $ptr_size = length(pack("L!",0));
my $found;
for (unpack("L!*", $around)) {
if ($_ == $addr{$w}) {
$found = 1;
last;
}
$offset += $ptr_size;
}
die "Can't determine peer offset" unless $found;
my %peer;
# now retrieve peer for each socket
for my $inode (keys %addr) {
$peer{$addr{$inode}} = unpack("L!", readaddr($addr{$inode}+$offset,$ptr_size));
}
close K;
# Now get info about processes tied to sockets using lsof
my (%fields, %proc);
open LSOF, '-|', 'lsof', '-nPUFpcfdn';
while (<LSOF>) {
if (/(.)(.*)/) {
$fields{$1} = $2;
if ($1 eq 'n') {
$proc{hex($fields{d})}->{"$fields{c},$fields{p}" .
($fields{n} =~ m{^([@/].*?)( type=\w+)?$} ? ",$1" : "")} = "";
}
}
}
close LSOF;
# and finally process the lsof output
open LSOF, '-|', 'lsof', @ARGV;
while (<LSOF>) {
chomp;
for my $addr (/0x[0-9a-f]+/g) {
$addr = hex $addr;
my $peer = $peer{$addr};
if (defined($peer)) {
$_ .= $peer ?
sprintf(" -> 0x%x[", $peer) . join("|", keys%{$proc{$peer}}) . "]" :
"[LISTENING]";
last;
}
}
print "$_\n";
}
close LSOF or exit(1);