La herramienta strace intercepta y registra todas las llamadas al sistema operativo (kernel) realizadas y señales recibidas por un proceso en Linux. Esta herramienta de debug permite así listar todos los archivos que abre un proceso mediante el seguimiento de las invocaciones a la llamada al sistema operativo (syscall) sys_open.

strace es una herramienta de diagnóstico y debug muy útil, que permite a desarrolladores, SysAdmins, expertos en seguridad y debuggers encontrar información valiosa al momento de resolver problemas con programas. Especialmente para aquellos casos en los que no se dispone de los fuentes. Por otro lado ayuda a comprender el funcionamiento de un sistema y las llamadas al sistema operativo.

Instalación y funcionamiento básico de strace

Para instalar strace en Debian y derivados, simplemente ejecutar:

# apt-get install strace

Cada línea en la salida de strace contiene el nombre a la llamada al sistema junto con sus parámetros, entre paréntesis, y el valor de retorno.

Veamos por ejemplo, todas las llamadas al sistema operativo involucradas al ejecutar el comando pwd:

root@linuxito:~# strace pwd
execve("/bin/pwd", ["pwd"], [/* 17 vars */]) = 0
brk(0)                                  = 0x25d2000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dd1000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=21055, ...}) = 0
mmap(NULL, 21055, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fbe35dcb000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\300\357\1\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=1607696, ...}) = 0
mmap(NULL, 3721272, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7fbe35827000
mprotect(0x7fbe359ab000, 2093056, PROT_NONE) = 0
mmap(0x7fbe35baa000, 20480, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x183000) = 0x7fbe35baa000
mmap(0x7fbe35baf000, 18488, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7fbe35baf000
close(3)                                = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dca000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dc9000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dc8000
arch_prctl(ARCH_SET_FS, 0x7fbe35dc9700) = 0
mprotect(0x7fbe35baa000, 16384, PROT_READ) = 0
mprotect(0x607000, 4096, PROT_READ)     = 0
mprotect(0x7fbe35dd3000, 4096, PROT_READ) = 0
munmap(0x7fbe35dcb000, 21055)           = 0
brk(0)                                  = 0x25d2000
brk(0x25f3000)                          = 0x25f3000
open("/usr/lib/locale/locale-archive", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=2708960, ...}) = 0
mmap(NULL, 2708960, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fbe35591000
close(3)                                = 0
getcwd("/root", 4096)                   = 6
fstat(1, {st_mode=S_IFCHR|0600, st_rdev=makedev(136, 0), ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dd0000
write(1, "/root\n", 6/root
)                  = 6
close(1)                                = 0
munmap(0x7fbe35dd0000, 4096)            = 0
close(2)                                = 0
exit_group(0)                           = ?

La traza se envía a la salida de errores, con lo cual es posible redirigirla para visualizar de manera separada la salida del programa de la salida de strace:

root@linuxito:~# strace pwd 2> strace.pwd
/root
root@linuxito:~# head -n 5 strace.pwd 
execve("/bin/pwd", ["pwd"], [/* 17 vars */]) = 0
brk(0)                                  = 0xe45000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f9252aea000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)

Listar los archivos abiertos por un proceso

Ahora bien, a lo que iba el artículo, para listar todos los archivos abiertos por un programa en ejecución, es necesario hacer un seguimiento de las llamadas a sys_open. A través de la opción -e es posible especificar una expresión para indicar qué llamadas al sistema trazar. Por ejemplo:

root@linuxito:~# strace -e open ls /
open("/etc/ld.so.cache", O_RDONLY)      = 3
open("/lib/x86_64-linux-gnu/libselinux.so.1", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/librt.so.1", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libacl.so.1", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libdl.so.2", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libpthread.so.0", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libattr.so.1", O_RDONLY) = 3
open("/proc/filesystems", O_RDONLY)     = 3
open("/usr/lib/locale/locale-archive", O_RDONLY) = 3
open(".", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 3
backup  boot  etc   lib    lost+found  mnt  proc    root  sbin     srv  tmp  var
bin     dev   home  lib64  media       opt  reboot  run   selinux  sys  usr

Mediante una redirección de la salida de errores y manipulación posterior con cut es posible "limpiar" la salida de la siguiente forma:

root@linuxito:~# strace -e open -f ls / 2>&1 1>/dev/null | cut -d'"' -f2
/etc/ld.so.cache
/lib/x86_64-linux-gnu/libselinux.so.1
/lib/x86_64-linux-gnu/librt.so.1
/lib/x86_64-linux-gnu/libacl.so.1
/lib/x86_64-linux-gnu/libc.so.6
/lib/x86_64-linux-gnu/libdl.so.2
/lib/x86_64-linux-gnu/libpthread.so.0
/lib/x86_64-linux-gnu/libattr.so.1
/proc/filesystems
/usr/lib/locale/locale-archive
/

Esos son todos los archivos abiertos por el comando ls / en mi servidor.

Opciones adicionales

strace posee una importante cantidad de características y opciones adicionales.

Si se desea trazar no sólo el proceso inicial sino además todos sus hijos (forks), es necesario agregar la opción -f.

strace incluye varias opciones de temporizado entre las que se destacan:

  • -c: incluir un reporte de llamas al sistemas al finalizar.
  • -r: imprimir una estampilla de tiempo para cada llamada.
  • -t: agregar la hora y fecha para cada línea (útil si se desea trazar un servicio durante un largo período de tiempo).
  • -T: mostrar el tiempo gastado en llamadas al sistema.

Para más información, consultar su página de manual:

man strace

Referencias


Tal vez pueda interesarte


Compartí este artículo