拦截linux系统命令 linux关闭监听命令

linux如何拦截黑名单进程执行危险命令

Linux进程间通信由以下几部分发展而来：

目前创新互联已为超过千家的企业提供了网站建设、域名、网站空间、成都网站托管、企业网站设计、白云网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

早期UNIX进程间通信：包括管道、FIFO、信号。

基于System V的进程间通信：包括System V消息队列、System V信号灯（Semaphore）、System V共享内存。

基于Socket进程间通信。

基于POSIX进程间通信：包括POSIX消息队列、POSIX信号灯、POSIX共享内存。

Linux中，与IPC相关的命令包括：ipcs、ipcrm（释放IPC）、

IPCS命令是Linux下显示进程间通信设施状态的工具。我们知道，系统进行进程间通信（IPC）的时候，可用的方式包括信号量、共享内存、消息队列、管道、信号（signal）、套接字等形式[2]。使用IPCS可以查看共享内存、信号量、消息队列的状态。

例如在CentOS6.0上执行ipcs

具体的用法总结如下：

1、显示所有的IPC设施

# ipcs -a

2、显示所有的消息队列Message Queue

# ipcs -q

3、显示所有的信号量

# ipcs -s

4、显示所有的共享内存

# ipcs -m

5、显示IPC设施的详细信息

# ipcs -q -i id

id 对应shmid、semid、msgid等。-q对应设施的类型（队列），查看信号量详细情况使用-s，查看共享内存使用-m。

6、显示IPC设施的限制大小

# ipcs -m -l

-m对应设施类型，可选参数包括-q、-m、-s。

7、显示IPC设施的权限关系

# ipcs -c

# ipcs -m -c

# ipcs -q -c

# ipcs -s -c

8、显示最近访问过IPC设施的进程ID。

# ipcs -p

# ipcs -m -p

# ipcs -q -p

9、显示IPC设施的最后操作时间

# ipcs -t

# ipcs -q -t

# ipcs -m -t

# ipcs -s -t

10、显示IPC设施的当前状态

# ipcs -u

Linux上的ipcs命令，不支持UNIX上的-b、-o指令，同样UNIX中不支持-l、-u指令，所以在编写跨平台的脚本时，需要注意这个问题。

如何利用Ptrace拦截和模拟Linux系统调用

这里的“拦截”我指的是tracer能够改变系统调用参数，改变系统调用的返回值，甚至屏蔽特定的系统调用。这也就意味着，一个tracer将能够完全实现自己的系统调用，这就非常有趣了，也就是说，一个tracer将可以模拟出一整套操作系统机制，而且这一切都不需要内核提供任何其他帮助。

但问题在于，一个进程一次只能够绑定一个tracer，因此我们无法在调试进程（GDB）的过程中模拟出一套外部操作系统，而另一个问题就是模拟系统调用将耗费更多的资源开销。

在这篇文章中，我将主要讨论x86-64架构下的Linux Ptrace，并且我还会使用到一些特定的Linux扩展。除此之外，我可能会忽略错误检查，但最终发布的完整源码将会解决这些问题。

如何 阻挡 linux 未授权 命令

linux在创建用户是将用户默认的shell指定为/sbin/nologin即可阻止用户登录，命令为

useradd user -s /sbin/nologin,其中-s指定用户的默认shell

如果用户已经存在于系统，用root身份修改/etc/passwd文件，将要阻止的用户的shell改为/sbin/nologin,如下所示

user:x:502:502::/home/user:/sbin/nologin

关于Linux命令的介绍，看看《linux就该这么学》，具体关于这一章地址3w(dot)linuxprobe/chapter-02(dot)html.

LINUX对shell命令的拦截

楼主，shell 接收到一个 非内部命令 （如 ls, find）时，不是把命令提交给内核的，这个概念是错误的。 shell 应该是 fork 出一个进程，这个子进程调用 exec* 系列系统调用 (比如 execlp 等）来载入ls, find等可执行程序执行， 而此时的shell进程本身会 通过 wait 系统调用等待子进程完成。

由上可见，一个进行拦截的地方可以放在 exec 系列调用中，exec是实现在 glibc 里的，所以你只要下载 glibc （或者你们系统使用的 libc ）的源码，在 exec 调用中加入你的拦截代码。 编译修改后的glibc，替换系统中的glibc即可。

另外要注意的是，除了shell，其他程序也可能使用 fork+exec 来执行某些命令，如果不想拦截这种情况，在拦截时需判断一下当前进程的父或祖进程，看看是否是shell进程。

最后，glibc实在是太重要了，是所有程序的基础，改动需小心。