惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Simon Willison's Weblog
Simon Willison's Weblog
IT之家
IT之家
B
Blog
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Stack Overflow Blog
Stack Overflow Blog
S
Schneier on Security
aimingoo的专栏
aimingoo的专栏
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
C
Check Point Blog
S
Securelist
博客园 - Franky
NISL@THU
NISL@THU
T
The Exploit Database - CXSecurity.com
Recent Announcements
Recent Announcements
The Cloudflare Blog
爱范儿
爱范儿
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
WordPress大学
WordPress大学
T
Troy Hunt's Blog
P
Proofpoint News Feed
Last Week in AI
Last Week in AI
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
T
Tor Project blog
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
酷 壳 – CoolShell
酷 壳 – CoolShell
云风的 BLOG
云风的 BLOG
I
Intezer
腾讯CDC
V2EX - 技术
V2EX - 技术
Security Latest
Security Latest
H
Heimdal Security Blog
The Register - Security
The Register - Security
MongoDB | Blog
MongoDB | Blog
V
Visual Studio Blog
H
Hacker News: Front Page
Security Archives - TechRepublic
Security Archives - TechRepublic
阮一峰的网络日志
阮一峰的网络日志
T
Threat Research - Cisco Blogs
P
Proofpoint News Feed
Microsoft Azure Blog
Microsoft Azure Blog
V
V2EX
雷峰网
雷峰网
I
InfoQ
K
Kaspersky official blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
T
Tailwind CSS Blog
Hugging Face - Blog
Hugging Face - Blog
T
Threatpost
Microsoft Security Blog
Microsoft Security Blog
C
Cyber Attacks, Cyber Crime and Cyber Security

博客园_首页

Plist 二进制格式 Milvus 和 PGVector,哪个更好? OpenClaw 已过时?在 VS Code 中运行 Hermes Agent! 第30篇文章:一个大三计科生的自白 Manim如何在数学公式中完美显示中文? Docker 部署 RocketMQ 5 并发编程核心概念辨析 C#事务处理最佳实践:别再让“主表存了、明细丢了”的破事发生 CLI 是什么?为什么大厂突然集体卷命令行? 【从0到1构建一个ClaudeAgent】协作-自主Agent UIImageView 设置图片不生效的原因排查 最小二乘问题详解20:无先验约束下的增量式SFM自由网平差 痞子衡嵌入式:大话双核i.MXRT1180之XIP应用里借助MU实现可靠Flash IAP的方法 AI Chat 封装, SemanticKerne.AiProvider.Unified 已发布 Windows下右键编辑js文件无法打开记事本——在注册表中使用环境变量 在后台服务中使用 Scoped 服务,为什么总是报错? H200 安装驱动并使用sglang启动模型 wireshark 抓包Trap上报告警内容 我用 AI 辅助开发了一系列小工具(2):图片压缩工具 [A Primer On MC and CC] 2.1 Memory Consistency 1 - 指令重排序和 SC 模型 Oracle数据库SCN推进技术详解与实践指南 玩转控件:封装个带图片的Label控件 Claude Code 4.7 真正该升级的不是模型,而是你的工作流 前端小白一句话,AI 帮我做了个颜值拉满的桌面媒体播放器。当代码不再是门槛,一句话编程就是现实。 5. WorkBuddy: 小龙虾的灵魂三件套,让你的小龙虾不只是工具 SQLite 分片方案实战:三种分片策略的深度对比 告别简陋 UI!一款基于 Fluent Design 和基于 WinUI 的开源免费、现代化的 Avalonia UI 控件库 关于二进制排列组合枚举的总结 AI开发-python-LangGraph框架(3-27-LangGraph从零实现大模型智能决策工作流) ElasticSearch主分片和副本分片概念详解 【002】HTTPS 粗解:证书、TLS 握手与对后端配置的影响 Hermes Agent 一周暴涨五万 Star,但我劝你别急着追 明明连接的是Redis的DB0,为什么能查到DB3的数据? 【从0到1构建一个ClaudeAgent】协作-Agent团队 熟悉电子元器件之后,电子小白下一步该怎么走? MAF快速入门(23)通过C#类定义Skills .NET 高级开发 | 手写一个对象映射框架 FastAPI数据库ORM怎么选?我肝了三个Demo后,终于不再纠结了 mysqldump 参数拾遗:在遗忘与铭记之间 C# .NET 周刊|2026年3月5期 Claude code入门 - 陈彦斌 一文学习入门 ThingsBoard 开源物联网平台 GitHub 热门项目 | 2026年04月16日 如何为GIT设置全局勾子,为每次提交追加信息 Number.isFinite和isFinite与isNaN()和Number.isNaN的区别 PortSwigger SQL注入LAB2 推荐一个测试人必备的Skills,从功能到性能全搞定(附详细实操和安装下载方式) 筑基期:掌握Odoo基础核心知识点02(Odoo XML 开发方式详解) GLM模型这么火,咱们用vllm也咧一个呗! 深入理解 AbortController:从底层原理到跨语言设计哲学 字符串学习笔记 多租户系统框架的基础模块设计和分析设计 Apache SeaTunnel Zeta 为什么能做到“又快又稳”? AI开发-python-LangGraph框架(3-26-LangGraph基本概念及第一个简单样例) Vue 3 组件通信,别只会用 Props 和 Emits 了,这几个狠活儿你得看看 ElasticSearch7.X版本配置密码 用Manim实现动态交点计算--从一个动点问题说起 团结引擎+Addressable+Instant Game打包抖音小游戏 function call 实战:让 LLM 自动判断 pod 异常、调用日志工具并完成故障分析 bubseek —— 让 Agent 的足迹,变成团队的洞察 通过 C# 读取并导出 PDF 书签 如何用 GitHub Actions 实现 Steam 自动化发布 【从0到1构建一个ClaudeAgent】并发-后台任务 .NET 高级开发 | 定制 ASP.NET Core 框架 电子小白:什么是运算放大器(运放) zero2Agent:面向大厂面试的 Agent 工程教程,从概念到生产的完整学习路线 堆上的ORW HC32F460 USB CDC通信异常:非对齐访问异常排查 20260413-Hyperbridge 攻击事件:发生在默克尔山上的验证绕过 那些喊着AI 要淘汰你的人,正在靠你的焦虑赚大钱! 深度学习进阶(八)Swin Transformer 最小二乘问题详解19:带先验约束的增量式SFM优化与实现 SnapTranslate 3.0 正式发布:全局划词翻译 + 完整英语学习闭环,一站式搞定查词、记词、复习 工作的意义、工作的困难认知再思考 .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 开了 TUN 模式还是直连?90% 的人都踩过这个坑 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术
[原创]关于 Linux 终端安全监控(全网最全)
书生执笔画浮沉 · 2026-06-26 · via 博客园_首页

关于 Linux 终端安全监控


心血来潮,梳理出这篇文章,且看且珍惜吧,若有不足,也感谢大佬指点一二。
最近两年笔者对于 Linux 的应用层监控和内核层监控基本全研究了一遍并落地了两套,如果有屏幕前的你也在调研此方面的技术,那么可以做个参考,能少走很多弯路,现在的就业形式一言难尽,笔者在这上面花费了大量精力,到头来却发现无用武之地,所以没必要在这上面浪费太多精力。笔者的两套方案具体如下:

  • 最初的一套是通过 FTrace + LivePatch + kprobe 实现的,支持监控与反勒索。
  • 最新的一套是通过 tracepoint + kprobe 实现的,同样支持以上功能。
  • 如果业务需求不高,笔者十分推荐使用应用层的 fanotify

应用层


Preload

Preload 的本质就是劫持动态库符号表,使我们的符号优先于系统库(glibc)中的符号被找到并使用。

  • 优势:
    • 比 ptrace 性能好
    • 比驱动通用性好,无需逐一编译适配
  • 缺陷:
    • 极其容易被 汇编、go、rust、musl 等静态编译方式的直接与内核交互的程序绕过
    • 由于是作为被监控者的依赖库被调用,线程间、进程间(fd)临界资源问题比较严重
    • 印象里好像还与原生的安全机制有冲突,例如: seccomp、snap 容器化
    • 对于刻意使用 dl 系列函数加载符号的程序难以适用

ptrace

ptrace 就是我们平时使用的 strace、gdb 的底层核心接口。当时我觉得既然 strace 可以追踪系统调用、 gdb 调试过程中又可以阻塞应用,那么 ptrace 肯定可以追踪并挂起即将执行的系统调用。事实证明我觉得没错,但是!

  • 优势:
    • 无法被汇编、静态编译绕过
    • 比驱动通用性好,无需逐一编译适配
  • 缺陷:
    • 性能太差, ptrace 设计之初就是给调试用的,难以并发
    • 要获取系统调用参数只能8字节8字节的从寄存器往外取,进一步拖慢了性能
    • 容易被反侦察,当目标被追踪, /proc 目录中目标进程信息会有被调试的标识

fanotify

这其实是我最后发现的一种监控方式,支持简单的文件访问控制。如果不追求极致的安全,笔者十分建议采用这种方式。由于笔者没有深入的使用,以下仅是个人推断。

  • 优势:
    • 无法被汇编、静态编译绕过
    • 可以配合 /proc 目录中的信息扩展访问控制能力
    • 比驱动通用性好,无需逐一编译适配
  • 缺陷:
    • 若扩展能力则需要频繁的与 /proc/ 目录交互,会有些性能损失
    • 访问控制能力有限,导致提供的安全能力受限

内核层


eBPF

关于eBPF前期调研过程中就被我pass了。

  • 优势:
    • 依托于 CO-RE 机制一次编译,到处运行
    • 原生支持阻断,无需暴力阻断
  • 缺点:
    • 需要高版本内核,无法面对信创平台已经铺开的3.x、4.x的内核需求
    • 只能支持基于规则的阻断、无法睡眠也无法把数据推往杀毒引擎扫描后,再决定放行与否

kprobe

  • 这如果不在异常/中断上下文就好了。
    • 优势:
      • 任意符号位置,基本都可插入hook
    • 缺陷:
      • 非正常的进程上下文,禁止睡眠、挂起
      • 甚至仅仅是通过copy_from_user取用户层参数触发缺页,引发了挂起,都不允许
      • 需要采集驱动构建套件进行编译适配

lsm

这也被 pass 掉了,原因是收集了一些系统平台去做编译测试,部分信创系统唯独缺少关于lsm的编译环境和条件,导致编译不通过,由于未深度使用,以下优缺点仅仅是个人推断。

  • 优势:
    • 由于在更底层,不会出现Double Fetch的问题
    • 处于进程上下文,可以和应用层安全服务阻塞式交互
  • 缺陷:
    • 部分场景可能拿不到业务层需要的全部数据,需要配合读取 /proc 目录中的信息进行完善
    • 需要采集驱动构建套件进行编译适配

FTrace

这是个好方法,但是唯独架构支持不全。

  • 优势:
    • 处于进程上下文,可以和应用层安全服务阻塞式交互
  • 缺陷:
    • 测试了很多 arm64 的信创系统,全都不被支持
    • 如果 Hook 点太浅,容易被Double Fetch
    • 需要采集驱动构建套件进行编译适配

LivePatch

这有点杀鸡用牛刀了。

  • 优势:
    • 可以插在任意位置和地址,只要你认为这安全
  • 缺陷:
    • 需要有一定的对应架构的汇编能力
    • 毕竟不是内核原生框架,需要防御性编程
    • 需要采集驱动构建套件进行编译适配

tracepoint

这个很赞。

  • 优势:
    • 处于进程上下文
    • 如果没有防御手段,一样会被Double Fetch
    • 支持所有架构(x64、arm64、mips64el、loongarch64、sw_64)
  • 缺陷:
    • 个别系统监控不到事件,还没抽出时间调研
    • 需要采集驱动构建套件进行编译适配

syscall_table

差点把它忘了。

  • 优势:
    • 处于进程上下文
    • 如果没有防御手段,一样会被Double Fetch
    • 不需要复杂的寄存器解嵌套、读取操作
    • 支持所有架构
  • 缺陷:
    • 在内核引入地址随机化 KASLR 之后,无法再使用
    • 需要采集驱动构建套件进行编译适配

后期优化思路

准备模仿 eBPF 的 CO-RE 机制,让大部分符号都动态查寻获取。然后引入 英伟达 的驱动思路,让底座开源,核心代码闭源为弱符号的二进制使内核平台无关。如若成功,将无需再逐内核编译适配了。


上述部分应用层方案已开源,若感兴趣可自行查看