Как можно заставить dtrace запустить прослеживаемую команду с привилегиями non-root?

Question

OS X не хватает Linux strace, но он имеет dtrace, который должен быть намного лучше.

Однако, я пропускаю возможность простейшего отслеживания по отдельным командам. Например, на Linux я могу написать strace -f gcc hello.c в caputre все системные вызовы, которые дает мне список все имена файлов, необходимые компилятором скомпилировать свою программу (отличный memoize сценарий построен на этот трюк)

I хочу портировать memoize на mac, поэтому мне нужен какой-то strace. Мне действительно нужен список файлов gcc, который читает и записывает, поэтому мне нужно больше truss. Разумеется, я могу сказать dtruss -f gcc hello.c и получить несколько ту же функциональность, но тогда компилятор запускается с привилегиями root, что явно нежелательно (кроме огромного риска для безопасности, одна проблема заключается в том, что файл a.out теперь принадлежит root :-)

затем я попытался dtruss -f sudo -u myusername gcc hello.c, но это чувствует себя немного не так, и все равно не работает (я не получаю a.out файла на все это время, не знаю, почему)

Все, что длинная история пытается мотивировать свой оригинальный вопрос : Как мне получить dtrace для запуска моей команды с обычными привилегиями пользователя, как и в случае с strace в linux?

Edit: это, кажется, что я не единственный, кто задавался вопросом, как сделать это: вопрос #1204256 является почти такой же, как у меня (и имеет тот же самый неоптимальный SUDO ответ :-)

Answer 1

Не ответ на ваш вопрос, а что-то знать. OpenSolaris решил эту проблему (частично) с «привилегиями» - см. this page. Даже в OpenSolaris было бы невозможно разрешить пользователю без каких-либо дополнительных привилегий обрабатывать собственный процесс. Причина в том, как работает dtrace - он позволяет зондам в ядре. Таким образом, позволяя не-привилегированному пользователю исследовать ядро, пользователь может делать много нежелательных вещей, например. sniffing passwd другого пользователя, включив зонды в драйвере клавиатуры!

Answer 2

Я не» t знать способ запустить то, что вы хотите, как обычный пользователь, поскольку кажется, что dtruss, который использует dtrace, требует привилегий su.

Однако, я считаю, что команда, которую вы искали вместо

dtruss -f sudo -u myusername gcc hello.c

является

sudo dtruss -f gcc hello.c

После ввода пароля, dtruss будет работать привилегии SUDO DTrace будет, и вы получите трассировку, а также файл a.out.

Извините, но я не могу помочь.

Answer 3

Я не знаю, можете ли вы получить как неинвазивный, как strace.

Вариант «Суд [искоренять] dtruss Судо [назад некорневой] CMD», что, кажется, лучше работать в некотором быстром тестировании для меня:

sudo dtruss -f su -l `whoami` cd `pwd` && cmd.... 

Внешних Судо, конечно, так dtruss работает как root.

Внутреннее su возвращается ко мне, а с -l оно воссоздает среду должным образом, и в этот момент нам нужно вернуться к тому, с чего мы начали.

Я думаю, что «su -l user» лучше, чем «sudo -u user», если вы хотите, чтобы среда была тем, что обычно получает пользователь.Однако это будет их среда входа; Я не знаю, есть ли хороший способ позволить среде наследовать через два пользовательских изменения.

В вашем вопросе еще одна жалоба, которую вы имели об обходном решении «sudo dtruss sudo», кроме уродства, заключалась в том, что «я не получаю никакого файла a.out на все это время, не знаю почему». Я тоже не знаю, почему, но в моем маленьком тестовом сценарии вариант «sudo dtruss sudo» также не смог записать в тестовый выходной файл, а вариант «sudo dtruss su» выше создал выходной файл.

Answer 4

Самый простой способ заключается в использовании Sudo:

sudo dtruss -f sudo -u $USER whoami 

---

Другое решение было бы запустить отладчик первый и монитор для новых специфических процессов. .

sudo dtruss -fn whoami 

Затем в другом терминале просто запустите:

whoami 

просто.

Более сложные аргументы вы можете найти в руководстве: man dtruss

---

В качестве альтернативы вы можете прикрепить dtruss к запущенному процессу пользователя, например, на Mac:

sudo dtruss -fp PID 

или сходного на Linux/Unix с помощью Трассирование:

sudo strace -fp PID 

---

Другой Hacky трюк может быть, чтобы выполнить команду и сразу после этого подключить к процессу.Вот некоторые примеры:

sudo true; (./Pages &); sudo dtruss -fp `pgrep -n -x Pages` 
sudo true; (sleep 1 &); sudo dtruss -fp `pgrep -n -x sleep` 
sudo true; (tail -f /var/log/system.log &); sudo dtruss -fp `pgrep -n -x tail` 

Примечание:

• первый Судо только для кэширования пароля в первый раз бега,

• этот трюк не работает для быстрой команды линии, такие как ls, date, так как требуется некоторое время, пока отладчик не присоединяется к этому процессу,

• Вы должны ввести команду в две плоскости цы,

• вы можете игнорировать &, чтобы запустить процесс в фоновом режиме, если он уже делает это,

• после завершения отладки, вам придется вручную убить фоновый процесс (например, killall -v tail)

Answer 5

-n аргумент dtruss заставит dtruss ждать и исследовать процессы, которые соответствуют аргументу -n. Опция -f будет по-прежнему работать, чтобы отслеживать процессы, связанные с процессами, соответствующими -n.

Всего это означает, что если вы хотите dtruss процесса (ради аргумента, скажем, это whoami) работает в качестве непривилегированного пользователя, выполните следующие действия:

1. Откройте корневую оболочку
2. Запуск dtruss -fn whoami
   • это будет сидеть и ждать, пока процесс под названием «Whoami» существовать
3. Открыть nonprivilege d оболочки
4. Run whoami
   • это будет выполняться и выход нормально
5. Наблюдайте след системного вызова в dtruss окне
   • dtruss не выходит сама по себе - он будет продолжать ждать для согласования процессов - поэтому выйти из него, когда вы сделали

---

Этот ответ дублирует последнюю часть ответа @ kenorb, но он заслуживает того, чтобы быть первоклассным ответом.

Answer 6

Кажется, что OS X не поддерживает использование dtrace для репликации всех функций strace, которые вам нужны. Тем не менее, я предлагаю попробовать создать обертку вокруг подходящих системных вызовов. Похоже, что DYLD_INSERT_LIBRARIES - это переменная среды, которую вы хотите взломать. Это в основном то же самое, что и для LD_PRELOAD.

Гораздо проще способ сделать библиотечные функции переопределяет использует переменную DYLD_INSERT_LIBRARIES среды (по аналогии с LD_PRELOAD на Linux). Концепция проста: во время загрузки динамический компоновщик (dyld) загрузит любые динамические библиотеки, указанные в DYLD_INSERT_LIBRARIES , перед любыми библиотеками, которые хочет загрузить исполняемый файл. Назвав функцию такой же, как в библиотечной функции, она переопределит любые вызовы на оригинала.

Исходная функция также загружается и может быть получена с помощью dlsym (RTLD_NEXT, «имя_функции»); функция. Это позволяет использовать простой метод для обертывания существующих функций библиотеки.

Согласно example по Tom Robinson вам может понадобиться установить DYLD_FORCE_FLAT_NAMESPACE=1 тоже.

Копия исходного примера (lib_overrides.c), который переопределяет только fopen:

#include <stdio.h> 
#include <unistd.h> 
#include <dlfcn.h> 

// for caching the original fopen implementation 
FILE * (*original_fopen) (const char *, const char *) = NULL; 

// our fopen override implmentation 
FILE * fopen(const char * filename, const char * mode) 
{ 
    // if we haven’t already, retrieve the original fopen implementation 
    if (!original_fopen) 
     original_fopen = dlsym(RTLD_NEXT, "fopen"); 

    // do our own processing; in this case just print the parameters 
    printf("== fopen: {%s,%s} ==\n", filename, mode); 

    // call the original fopen with the same arugments 
    FILE* f = original_fopen(filename, mode); 

    // return the result 
    return f; 
} 

Использование:

$ gcc -Wall -o lib_overrides.dylib -dynamiclib lib_overrides.c 
$ DYLD_FORCE_FLAT_NAMESPACE=1 DYLD_INSERT_LIBRARIES=lib_overrides.dylib command-to-test 

Answer 7

Отказ от ответственности: это происходит от @ kenorb-х answer. Это имеет некоторые преимущества: PID более специфичен, чем execname. И мы можем сделать краткосрочный процесс ожидания DTrace до его начала.

Это немного гонки conditiony, но ...

Допустим, мы хотим проследить cat /etc/hosts:

sudo true && \ 
(sleep 1; cat /etc/hosts) &; \ 
sudo dtrace -n 'syscall:::entry /pid == $1/ {@[probefunc] = count();}' $!; \ 
kill $! 

Мы используем sudo true, чтобы убедиться, что мы очищаем запрос пароля SUDO перед нами начать работать что-то чувствительное к времени.

Мы начинаем фоновый процесс («подождите 1 секунду, затем сделайте что-нибудь интересное»). Между тем, мы начинаем DTrace. Мы зафиксировали PID фонового процесса в $!, поэтому мы можем передать это DTrace как arg.

kill $! работает после закрытия DTrace. Это не обязательно для нашего примера cat (процесс закрывается сам по себе), но он помогает нам прекратить длительные фоновые процессы, такие как ping. Передача -p $! в DTrace - это предпочтительный способ сделать это, но на macOS, по-видимому, требуется исполняемый код.

---

Другое, что вы можете сделать, это запустить команду в отдельной оболочке и отследить эту оболочку. См. Мой answer.