La herramienta strace
intercepta y registra todas las llamadas al sistema operativo (kernel) realizadas y señales recibidas por un proceso en Linux. Esta herramienta de debug permite así listar todos los archivos que abre un proceso mediante el seguimiento de las invocaciones a la llamada al sistema operativo (syscall) sys_open
.
strace
es una herramienta de diagnóstico y debug muy útil, que permite a desarrolladores, SysAdmins, expertos en seguridad y debuggers encontrar información valiosa al momento de resolver problemas con programas. Especialmente para aquellos casos en los que no se dispone de los fuentes. Por otro lado ayuda a comprender el funcionamiento de un sistema y las llamadas al sistema operativo.
Instalación y funcionamiento básico de strace
Para instalar strace
en Debian y derivados, simplemente ejecutar:
# apt-get install strace
Cada línea en la salida de strace
contiene el nombre a la llamada al sistema junto con sus parámetros, entre paréntesis, y el valor de retorno.
Veamos por ejemplo, todas las llamadas al sistema operativo involucradas al ejecutar el comando pwd
:
root@linuxito:~# strace pwd execve("/bin/pwd", ["pwd"], [/* 17 vars */]) = 0 brk(0) = 0x25d2000 access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory) mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dd1000 access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory) open("/etc/ld.so.cache", O_RDONLY) = 3 fstat(3, {st_mode=S_IFREG|0644, st_size=21055, ...}) = 0 mmap(NULL, 21055, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fbe35dcb000 close(3) = 0 access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory) open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY) = 3 read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\300\357\1\0\0\0\0\0"..., 832) = 832 fstat(3, {st_mode=S_IFREG|0755, st_size=1607696, ...}) = 0 mmap(NULL, 3721272, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7fbe35827000 mprotect(0x7fbe359ab000, 2093056, PROT_NONE) = 0 mmap(0x7fbe35baa000, 20480, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x183000) = 0x7fbe35baa000 mmap(0x7fbe35baf000, 18488, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7fbe35baf000 close(3) = 0 mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dca000 mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dc9000 mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dc8000 arch_prctl(ARCH_SET_FS, 0x7fbe35dc9700) = 0 mprotect(0x7fbe35baa000, 16384, PROT_READ) = 0 mprotect(0x607000, 4096, PROT_READ) = 0 mprotect(0x7fbe35dd3000, 4096, PROT_READ) = 0 munmap(0x7fbe35dcb000, 21055) = 0 brk(0) = 0x25d2000 brk(0x25f3000) = 0x25f3000 open("/usr/lib/locale/locale-archive", O_RDONLY) = 3 fstat(3, {st_mode=S_IFREG|0644, st_size=2708960, ...}) = 0 mmap(NULL, 2708960, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fbe35591000 close(3) = 0 getcwd("/root", 4096) = 6 fstat(1, {st_mode=S_IFCHR|0600, st_rdev=makedev(136, 0), ...}) = 0 mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fbe35dd0000 write(1, "/root\n", 6/root ) = 6 close(1) = 0 munmap(0x7fbe35dd0000, 4096) = 0 close(2) = 0 exit_group(0) = ?
La traza se envía a la salida de errores, con lo cual es posible redirigirla para visualizar de manera separada la salida del programa de la salida de strace
:
root@linuxito:~# strace pwd 2> strace.pwd /root root@linuxito:~# head -n 5 strace.pwd execve("/bin/pwd", ["pwd"], [/* 17 vars */]) = 0 brk(0) = 0xe45000 access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory) mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f9252aea000 access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
Listar los archivos abiertos por un proceso
Ahora bien, a lo que iba el artículo, para listar todos los archivos abiertos por un programa en ejecución, es necesario hacer un seguimiento de las llamadas a sys_open
. A través de la opción -e
es posible especificar una expresión para indicar qué llamadas al sistema trazar. Por ejemplo:
root@linuxito:~# strace -e open ls / open("/etc/ld.so.cache", O_RDONLY) = 3 open("/lib/x86_64-linux-gnu/libselinux.so.1", O_RDONLY) = 3 open("/lib/x86_64-linux-gnu/librt.so.1", O_RDONLY) = 3 open("/lib/x86_64-linux-gnu/libacl.so.1", O_RDONLY) = 3 open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY) = 3 open("/lib/x86_64-linux-gnu/libdl.so.2", O_RDONLY) = 3 open("/lib/x86_64-linux-gnu/libpthread.so.0", O_RDONLY) = 3 open("/lib/x86_64-linux-gnu/libattr.so.1", O_RDONLY) = 3 open("/proc/filesystems", O_RDONLY) = 3 open("/usr/lib/locale/locale-archive", O_RDONLY) = 3 open(".", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 3 backup boot etc lib lost+found mnt proc root sbin srv tmp var bin dev home lib64 media opt reboot run selinux sys usr
Mediante una redirección de la salida de errores y manipulación posterior con cut
es posible "limpiar" la salida de la siguiente forma:
root@linuxito:~# strace -e open -f ls / 2>&1 1>/dev/null | cut -d'"' -f2 /etc/ld.so.cache /lib/x86_64-linux-gnu/libselinux.so.1 /lib/x86_64-linux-gnu/librt.so.1 /lib/x86_64-linux-gnu/libacl.so.1 /lib/x86_64-linux-gnu/libc.so.6 /lib/x86_64-linux-gnu/libdl.so.2 /lib/x86_64-linux-gnu/libpthread.so.0 /lib/x86_64-linux-gnu/libattr.so.1 /proc/filesystems /usr/lib/locale/locale-archive /
Esos son todos los archivos abiertos por el comando ls /
en mi servidor.
Opciones adicionales
strace
posee una importante cantidad de características y opciones adicionales.
Si se desea trazar no sólo el proceso inicial sino además todos sus hijos (forks), es necesario agregar la opción -f
.
strace
incluye varias opciones de temporizado entre las que se destacan:
-c
: incluir un reporte de llamas al sistemas al finalizar.-r
: imprimir una estampilla de tiempo para cada llamada.-t
: agregar la hora y fecha para cada línea (útil si se desea trazar un servicio durante un largo período de tiempo).-T
: mostrar el tiempo gastado en llamadas al sistema.
Para más información, consultar su página de manual:
man strace
Referencias
Tal vez pueda interesarte