惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
Check Point Blog
U
Unit 42
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Martin Fowler
Martin Fowler
L
LangChain Blog
博客园_首页
博客园 - 【当耐特】
Vercel News
Vercel News
I
InfoQ
GbyAI
GbyAI
爱范儿
爱范儿
D
DataBreaches.Net
Blog — PlanetScale
Blog — PlanetScale
B
Blog RSS Feed
A
About on SuperTechFans
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
G
Google Developers Blog
大猫的无限游戏
大猫的无限游戏
Apple Machine Learning Research
Apple Machine Learning Research
F
Fortinet All Blogs
N
Netflix TechBlog - Medium
酷 壳 – CoolShell
酷 壳 – CoolShell
P
Proofpoint News Feed
美团技术团队
V
V2EX
Stack Overflow Blog
Stack Overflow Blog
有赞技术团队
有赞技术团队
Y
Y Combinator Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
H
Help Net Security
Recent Announcements
Recent Announcements
Microsoft Azure Blog
Microsoft Azure Blog
D
Docker
宝玉的分享
宝玉的分享
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
量子位
小众软件
小众软件
J
Java Code Geeks
S
SegmentFault 最新的问题
Engineering at Meta
Engineering at Meta
Google DeepMind News
Google DeepMind News
MongoDB | Blog
MongoDB | Blog
The Cloudflare Blog
Recorded Future
Recorded Future
阮一峰的网络日志
阮一峰的网络日志
T
The Blog of Author Tim Ferriss
MyScale Blog
MyScale Blog
Microsoft Security Blog
Microsoft Security Blog

V2EX - 技术

Local-first 软件收录站 从 X 上搬运来的白嫖 GPT Plus 教程 阿里云百炼 Coding Plan Pro 套餐 新增当日 token 限制 大家的 Claude 弹了 kyc 嘛 现在 Google 的 Gemini 和 AI 模式降智的厉害啊 用的 TAG 家的 T, ip 跳变是否影响使用 claude 同一 apple 账户能给不同 claude 账号充值么 做了个 Go 的 MCP Server 框架,一行代码把 Gin API 接入 AI - V2EX 请教各位,想回归技术,如何系统学习 Agent? OpenAI GPT-IMAGE-2 提示词合集 你是说, claude opus4.6 写代码的能力不如 gpt5.4? 关于智谱 Max 套餐要不要升级续费呢? App → CLI → App ? Github 账号被 404 了,现在没法恢复,求各位大佬指点 cursor 的次数套餐以后应该都用不了新模型了 - V2EX openrouter 使用国外模型 买了咸鱼低价 Gemini pro,账号差点被盗。突然发现国内诈骗成本为零 - V2EX Gemini 手机版客户端登陆总是在此国家/地区无法使用 gemini 感觉 gpt 这些低价渠道要爆了 claude code 和 codex 在 vibe coding 还有质的区别吗? 阿里 Coding Plan 一天三变, Lite 版本到期不能续费了 RAG 难以让人满意啊 2026 年了,这个世界还存在互联网精神🥹 两个账号阵亡,尼区 Claude Pro 订阅 分享下最近低价 GPT Codex 的来源(源头) OpenAI 发布 Codex 重大更新:支持自动操作电脑与长期任务自动化 使用 claude 从 0 开始开发一个校友会系统可行吗 同一个 appleid 可以给不同 chatGPT 账号订阅 plus 吗? 自动驾驶项目开发建议 终于, 降智几天之后, opus4.7 出来了 自己开发了个 VSCODE 扩展,可以接入自定义的模型,并且可以导出 Copilot 的聊天列表到其它设备上导入 - V2EX Claude 这对吗 某鱼上 codex 的价格这么便宜是否有猫腻? 🎉 Claude Opus 4.7 来啦~ 大家体验下来如何? 让 ai 重写了整个 git 的历史,强迫症被拯救了 [分享创造] 写了个自托管的 Chrome 同步服务器,书签密码再也不经过 Google 快讯, Claude Opus 4.7 已经可以使用。 Opus4.7 来了,网页版先上,桌面版本客户端暂时未看到 各位想本地部署大模型的看过来, 有台电脑想转让, 具体请查看截图, 价格请自己开价 这样用 ClaudeCode 怎么样? 我用 AI 写代码,但终端管理反而成了累赘——于是我做了 codux - V2EX [调研] 各位在公司都用什么 ide 和 agent 写代码? 丹麦国别域名(.dk)政策变更 - V2EX 目前付费订阅 chatgpt Plus 的最佳方式是什么? 老运维 share 一个运维平台 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX 看到有公司考核 token 指标,很好奇大家上个月的 AI 账单是多少 GLM-Coding 调用持续报错: z.ai 的 Lite 套餐几乎无法使用,官方 Pro/Max 是否稳定? - V2EX 现在还有什么渠道可以稳定安全地使用 Claude 吗? Chatgpt Pro 用量用不完的可以开这些设置 字节为啥不出个国内版 Vercel? 我的硬盘 Memblaze Pblaze 5 Linux 下不识别,给 Linux 内核提交了补丁, AI 说有望被合并 - V2EX Claude Web 端貌似 claude-opus-4-7 偷偷上了? 现在 Apple 开发者帳號應該是用哪个地区会更好? - V2EX ChatGPT Pro 5x 套餐 量真的很足! chrome 最新的 147 版直接卡爆炸了 - V2EX 为什么厂家不在 skill/mcp 这类的工具中塞广告呢?这样不是可以大赚嘛? minimax 真是脸都不要了,工作日下午 14:00 定时开启 529,脸都不要了。训练模型居然占用用户使用时间 iTad 标签 扩展 加小动作 ? - V2EX 去年 H200 能买,不让买是代替快出来了? - V2EX AI 赛事通 - 2026 年 4 月中国区新增 AI 竞赛和黑客松汇总 - V2EX 现在安卓开发都在做啥 - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX Codex 里的 GPT5.4 也能降智?上午让它改两个问题,改了一个小时了, plus 额度用了一半了还是没改好,和前几天用的体感完全不一样。要它改的问题也不复杂。服了。 目前有使用 claude code 的收到人脸认证的吗 - V2EX 分享一个自己做的 Nginx 管理工具,实时请求动态预览!(无奈市面上实在找不到好用的,自己撸了个) - V2EX claude code 崩了么? 今天在反重力上用 claude 一点都不丝滑,有同样的感受吗? opencode 消息周知插件 今天 claude opus 和前两天比,质的飞跃 - V2EX 999 包月价? - V2EX 一个版本, 50 项更新:我们几乎重做了整个播放页 本地大模型多大显存够用? GOGDNS 一款简易的私人 DNS 服务器 - V2EX API key (GLM) 怎么使用 claude code desktop ? Claude 这样订阅有问题吗 - V2EX 帮我爸找回了一篇赛博兰亭集序 求推荐稳定、高性价比使用 Claude Opus 4.6 的渠道/平台 搞个云端 claude code 防止 封号 - V2EX 用 Claude 要实名了,内地用户怎么办? OpenAI Plus 和 Team 都缩水了吗 海外 Android 手机有什么好用的国内第三方应用市场推荐吗 - V2EX 把电脑伪装成电视,用 DLNA 投屏拿到视频号直播流地址 - V2EX claude 认证莫慌 北京互联网法院有什么攻略么?起诉北京智谱华章科技股份有限公司退款可行么? - V2EX Claude 开始引入身份验证 求 vscode 做笔记软件的插件推荐 - V2EX 讯飞星辰的 Coding Plan 如何? Anthropic 宣布在 Claude 平台推行身份验证机制 科普一下低价 gpt 是怎么来的 有没有长期关注 Claude 的朋友,我建了一个 Channel 自动抓取 Claude Team 的推文 啃了那篇 54 页的 Agent Harness 综述, 给大伙讲个省流版 现在那家的 coding plan 还能买到 是不是最近会有什么更聪明的大模型要发布了呀? 用多了 AI 后,有没有觉得 AI 生成的文章有很强的既视感? 如何 实践 Harness 工程? 今日份 GPT 5.4 笑话 如何建一个自己的号池,让 cursor 真正实现 token 自由 写了三个月 Agent Harness,我终于敢让 Claude Code 全自动写代码了 感叹一下 GLM 5.1 真的强
[原创]关于 Linux 终端安全监控 - V2EX
kong5664246 · 2026-06-26 · via V2EX - 技术

心血来潮,梳理出这篇文章,且看且珍惜吧,若有不足,也感谢大佬指点一二。

最近两年笔者对于 Linux 的应用层监控和内核层监控基本全研究了一遍并落地了两套,如果有屏幕前的你也在调研此方面的技术,那么可以做个参考,能少走很多弯路,现在的就业形式一言难尽,笔者在这上面花费了大量精力,到头来却发现无用武之地,所以没必要浪费太多精力。笔者的两套方案具体如下:

  • 最初的一套是通过 FTrace + LivePatch + kprobe 实现的,支持监控与反勒索。
  • 最新的一套是通过 tracepoint + kprobe 实现的,同样支持以上功能。
  • 如果业务需求不高,笔者十分推荐使用应用层的 fanotify

应用层


Preload

Preload 的本质就是劫持动态库符号表,使我们的符号优先于系统库( glibc )中的符号被找到并使用。

  • 优势:
    • 比 ptrace 性能好
    • 比驱动通用性好,无需逐一编译适配
  • 缺陷:
    • 极其容易被 汇编、go 、rust 、musl 等静态编译方式的直接与内核交互的程序绕过
    • 由于是作为被监控者的依赖库被调用,线程间、进程间(fd)临界资源问题比较严重
    • 印象里好像还与原生的安全机制有冲突,例如:seccomp 、snap 容器化
    • 对于刻意使用 dl 系列函数加载符号的程序难以适用

ptrace

ptrace 就是我们平时使用的 strace 、gdb 的底层核心接口。当时我觉得既然 strace 可以追踪系统调用、gdb 调试过程中又可以阻塞应用,那么 ptrace 肯定可以追踪并挂起即将执行的系统调用。事实证明我觉得没错,但是!

  • 优势:
    • 无法被汇编、静态编译绕过
    • 比驱动通用性好,无需逐一编译适配
  • 缺陷:
    • 性能太差,ptrace 设计之初就是给调试用的,难以并发
    • 要获取系统调用参数只能 8 字节 8 字节的从寄存器往外取,进一步拖慢了性能
    • 容易被反侦察,当目标被追踪, /proc 目录中目标进程信息会有被调试的标识

fanotify

这其实是我最后发现的一种监控方式,支持简单的文件访问控制。如果不追求极致的安全,笔者十分建议采用这种方式。由于笔者没有深入的使用,以下仅是个人推断。

  • 优势:
    • 无法被汇编、静态编译绕过
    • 可以配合 /proc 目录中的信息扩展访问控制能力
    • 比驱动通用性好,无需逐一编译适配
  • 缺陷:
    • 若扩展能力则需要频繁的与 /proc/ 目录交互,会有些性能损失
    • 访问控制能力有限,导致提供的安全能力受限

内核层


eBPF

关于 eBPF 前期调研过程中就被我 pass 了。

  • 优势:
    • 依托于 CO-RE 机制一次编译,到处运行
    • 原生支持阻断,无需暴力阻断
  • 缺点:
    • 需要高版本内核,无法面对信创平台已经铺开的 3.x 、4.x 的内核需求
    • 只能支持基于规则的阻断、无法睡眠也无法把数据推往杀毒引擎扫描后,再决定放行与否

kprobe

  • 这如果不在异常/中断上下文就好了。
    • 优势:
      • 任意符号位置,基本都可插入 hook
    • 缺陷:
      • 非正常的进程上下文,禁止睡眠、挂起
      • 甚至仅仅是通过 copy_from_user 取用户层参数触发缺页,引发了挂起,都不允许
      • 需要采集驱动构建套件进行编译适配

lsm

这也被 pass 掉了,原因是收集了一些系统平台去做编译测试,部分信创系统唯独缺少关于 lsm 的编译环境和条件,导致编译不通过,由于未深度使用,以下优缺点仅仅是个人推断。

  • 优势:
    • 由于在更底层,不会出现 Double Fetch 的问题
    • 处于进程上下文,可以和应用层安全服务阻塞式交互
  • 缺陷:
    • 部分场景可能拿不到业务层需要的全部数据,需要配合读取/proc 目录中的信息进行完善
    • 需要采集驱动构建套件进行编译适配

FTrace

这是个好方法,但是唯独架构支持不全。

  • 优势:
    • 处于进程上下文,可以和应用层安全服务阻塞式交互
  • 缺陷:
    • 测试了很多 arm64 的信创系统,全都不被支持
    • 如果 Hook 点太浅,容易被 Double Fetch
    • 需要采集驱动构建套件进行编译适配

LivePatch

这有点杀鸡用牛刀了。

  • 优势:
    • 可以插在任意位置和地址,只要你认为这安全
  • 缺陷:
    • 需要有一定的对应架构的汇编能力
    • 毕竟不是内核原生框架,需要防御性编程
    • 需要采集驱动构建套件进行编译适配

tracepoint

这个很赞。

  • 优势:
    • 处于进程上下文
    • 如果没有防御手段,一样会被 Double Fetch
    • 支持所有架构( x64 、arm64 、mips64el 、loongarch64 、sw_64 )
  • 缺陷:
    • 个别系统监控不到事件,还没调研
    • 需要采集驱动构建套件进行编译适配

syscall_table

差点把它忘了。

  • 优势:
    • 处于进程上下文
    • 如果没有防御手段,一样会被 Double Fetch
    • 支持所有架构
  • 缺陷:
    • 在内核引入地址随机化 KASLR 之后,无法再使用
    • 需要采集驱动构建套件进行编译适配

后期优化思路

准备模仿 eBPF 的 CO-RE 机制,让大部分符号都动态查寻获取。然后引入 英伟达 的驱动思路,让底座开源,核心代码闭源为弱符号的二进制使内核平台无关。如若成功,将无需再逐内核编译适配了。


上述部分应用层方案已开源,若感兴趣可自行查看