Process Information

[Chimerer]

Hi,

ich beschäftige mich zur Zeit etwas tiefgründiger mit dem Kernel, also Memory Management, Process M. etc.

Ziemlich erstaunlich, wie schnell man auf Grund des task_vectors praktisch einen lokalen DoS-Angriff durchführen kann...

Meine eigentliche Frage: Kann man irgendwie feststellen von welchem User und von wo aus ein Prozess gestartet wurde?

edit: ps u Bin selber darauf gekommen. Bleibt noch: Von welchem Rechner aus?

[RHase]

Hi,


schau' Dir (neben "ps -u") auch mal folgende Tools an:

• last
  who
  w
  fuser

[Chimerer]

Bis auf fuser kannte ich eigentlich schon alle...ist aber alles nicht so wirklich das, was ich suche, also ein Programm das feststellt von welchem Rechner aus ein Prozess gestartet wurde.

Hmmm, gibt es vielleicht auch garnicht, weil in der task_struct ein derartiges Feld afaik nicht vorkommt...

Trotzdem danke.

[RHase]

denke, man muss sich selbst eine Loesung basteln, zum Bsp. aus den o.g. Programmen.

In aller Regel werden doch die Programme ueber SSH ([Telnet]) oder aehnlichen gestartet, d.h. mit Userkennung und "Sourcehost".
Wenn Du das ganze uebers Web laufen laesst, kaemen die $REMOTE_IP und $AUTHENTICATED_USER (ad hoc aus dem Gedaechnis) in Frage, bei selbstentwickelten C/S-Applikationen sollte man m.E. eh eine Authentifizierung/Protokollierung einbauen.

Und Security-Tools/Verfahren wie sudo, ACLs etc. bieten ja auch die Moeglichkeit einer Protokolierung.

Das ganze bezieht sich natuerlich nicht auf den Kernel (glaube, darauf zielst Du ab), aber "extern" ist in meinen Augen flexibler.

Wenn Dir was besseres einfaellt / ueber den Weg laeuft, waere es schoen, wenn Du dies hier im Forum mitteilen wuerdest.