네트워크의 헤드리스 시스템 중 하나가 다른 시스템의 VNC 포트를 계속 폴링하는 것을 발견했습니다. 내 문제는 연결된 포트를 보고(tcpdump를 사용하여) 프로세스 찾기를 사용하려고 하면 netstat -anp|grep PORT
프로세스가 종료되고 아무것도 발견되지 않는다는 것입니다(프로세스가 1밀리초 미만 동안 살아있는 것 같습니다).
프로세스 이름과 PID를 보고하는 tcpdump와 유사한 것이 있습니까? 아니면 프로그램을 캡처하기 위해 strace를 수행하는 영리한 방법이 있을까요?
답변1
auditctl을 사용해 보세요. 도움이 될 것입니다. 다음 규칙을 활성화하면 시스템이 초과될 수 있으므로 양식 디버깅만 사용하십시오.
auditctl -a exit,always -S execve
답변2
또 다른 옵션은 다음을 사용하는 것입니다.sysdig
. 이를 통해 특정 포트에 대한 연결과 관련된 시스템 호출을 모니터링할 수 있습니다. 예를 들어 VNC 서버가 포트 5901에서 수신 대기하고 있다고 가정합니다.
$ sudo sysdig and fd.sip=<SERVER_IP> and fd.sport=5901
이는 지정된 포트에서 지정된 SERVER_IP와 상호 작용하는 모든 프로세스에 대한 출력을 생성합니다. 기본적으로 프로세스 이름과 pid가 포함됩니다. 이것사용자 설명서사용 가능한 필터에 대한 자세한 정보와 출력에 포함될 수 있는 정보가 포함되어 있습니다.