La herramienta strace intercepta y registra todas las llamadas al sistema operativo (kernel) realizadas y señales recibidas por un proceso en Linux. Esta herramienta de debug permite así listar todos los archivos que abre un proceso mediante el seguimiento de las invocaciones a la llamada al sistema operativo (syscall) sys_open.
strace es una herramienta de diagnóstico y debug muy útil, que permite a desarrolladores, SysAdmins, expertos en seguridad y debuggers encontrar información valiosa al momento de resolver problemas con programas. Especialmente para aquellos casos en los que no se dispone de los fuentes. Por otro lado ayuda a comprender el funcionamiento de un sistema y las llamadas al sistema operativo.
Instalación y funcionamiento básico de strace
Para instalar strace en Debian y derivados, simplemente ejecutar:
# apt-get install strace
Cada línea en la salida de strace contiene el nombre a la llamada al sistema junto con sus parámetros, entre paréntesis, y el valor de retorno.
Veamos por ejemplo, todas las llamadas al sistema operativo involucradas al ejecutar el comando pwd:
root@linuxito:~# strace pwd
execve("/bin/pwd", ["pwd"], [/* 17 vars */]) = 0
brk(0) = 0x25d2000
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dd1000
access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=21055, ...}) = 0
mmap(NULL, 21055, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fbe35dcb000
close(3) = 0
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\300\357\1\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=1607696, ...}) = 0
mmap(NULL, 3721272, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7fbe35827000
mprotect(0x7fbe359ab000, 2093056, PROT_NONE) = 0
mmap(0x7fbe35baa000, 20480, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x183000) = 0x7fbe35baa000
mmap(0x7fbe35baf000, 18488, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7fbe35baf000
close(3) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dca000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dc9000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dc8000
arch_prctl(ARCH_SET_FS, 0x7fbe35dc9700) = 0
mprotect(0x7fbe35baa000, 16384, PROT_READ) = 0
mprotect(0x607000, 4096, PROT_READ) = 0
mprotect(0x7fbe35dd3000, 4096, PROT_READ) = 0
munmap(0x7fbe35dcb000, 21055) = 0
brk(0) = 0x25d2000
brk(0x25f3000) = 0x25f3000
open("/usr/lib/locale/locale-archive", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=2708960, ...}) = 0
mmap(NULL, 2708960, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fbe35591000
close(3) = 0
getcwd("/root", 4096) = 6
fstat(1, {st_mode=S_IFCHR|0600, st_rdev=makedev(136, 0), ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dd0000
write(1, "/root\n", 6/root
) = 6
close(1) = 0
munmap(0x7fbe35dd0000, 4096) = 0
close(2) = 0
exit_group(0) = ?
La traza se envía a la salida de errores, con lo cual es posible redirigirla para visualizar de manera separada la salida del programa de la salida de strace:
root@linuxito:~# strace pwd 2> strace.pwd
/root
root@linuxito:~# head -n 5 strace.pwd
execve("/bin/pwd", ["pwd"], [/* 17 vars */]) = 0
brk(0) = 0xe45000
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f9252aea000
access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
Listar los archivos abiertos por un proceso
Ahora bien, a lo que iba el artículo, para listar todos los archivos abiertos por un programa en ejecución, es necesario hacer un seguimiento de las llamadas a sys_open. A través de la opción -e es posible especificar una expresión para indicar qué llamadas al sistema trazar. Por ejemplo:
root@linuxito:~# strace -e open ls /
open("/etc/ld.so.cache", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libselinux.so.1", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/librt.so.1", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libacl.so.1", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libdl.so.2", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libpthread.so.0", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libattr.so.1", O_RDONLY) = 3
open("/proc/filesystems", O_RDONLY) = 3
open("/usr/lib/locale/locale-archive", O_RDONLY) = 3
open(".", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 3
backup boot etc lib lost+found mnt proc root sbin srv tmp var
bin dev home lib64 media opt reboot run selinux sys usr
Mediante una redirección de la salida de errores y manipulación posterior con cut es posible "limpiar" la salida de la siguiente forma:
root@linuxito:~# strace -e open -f ls / 2>&1 1>/dev/null | cut -d'"' -f2 /etc/ld.so.cache /lib/x86_64-linux-gnu/libselinux.so.1 /lib/x86_64-linux-gnu/librt.so.1 /lib/x86_64-linux-gnu/libacl.so.1 /lib/x86_64-linux-gnu/libc.so.6 /lib/x86_64-linux-gnu/libdl.so.2 /lib/x86_64-linux-gnu/libpthread.so.0 /lib/x86_64-linux-gnu/libattr.so.1 /proc/filesystems /usr/lib/locale/locale-archive /
Esos son todos los archivos abiertos por el comando ls / en mi servidor.
Opciones adicionales
strace posee una importante cantidad de características y opciones adicionales.
Si se desea trazar no sólo el proceso inicial sino además todos sus hijos (forks), es necesario agregar la opción -f.
strace incluye varias opciones de temporizado entre las que se destacan:
-c: incluir un reporte de llamas al sistemas al finalizar.-r: imprimir una estampilla de tiempo para cada llamada.-t: agregar la hora y fecha para cada línea (útil si se desea trazar un servicio durante un largo período de tiempo).-T: mostrar el tiempo gastado en llamadas al sistema.
Para más información, consultar su página de manual:
man strace
Referencias
Tal vez pueda interesarte
