psc: eBPF ve Konteyner Odaklı Yeni Nesil Süreç İzleme Aracı

psc (ps container), eBPF iteratörlerini ve Google CEL'i kullanarak sistem durumunu hassas bir şekilde ve tam konteyner bağlamında sorgulayan yeni nesil bir süreç tarayıcısıdır. Geleneksel Linux araçları olan ps, lsof ve ss güçlü olsalar da, sabit çıktı formatları nedeniyle bilgiyi ayıklamak için grep, awk ve sed gibi komutlarla yoğun bir şekilde zincirleme gerektirirler. psc, bu karmaşık komut zincirlerinin aksine, Common Expression Language (CEL) kullanarak süreçleri kolayca filtrelemeyi sağlar. Bu sayede, süreç adı, komut satırı, kullanıcı, PID, konteyner çalışma zamanı, konteyner adı, açık dosya tanımlayıcıları ve ağ bağlantıları gibi birçok kritere göre sorgulama yapmak mümkün hale gelir.

Geleneksel araçlar, kullanıcı alanı rootkit'leri tarafından manipüle edilebilen /proc sanal dosya sisteminden bilgi okur. LD_PRELOAD aracılığıyla yüklenen kötü niyetli bir kütüphane, sistem çağrılarını yakalayarak süreçleri, ağ bağlantılarını veya dosyaları bu araçlardan gizleyebilir. psc ise, eBPF iteratörlerini kullanarak süreç ve dosya tanımlayıcı bilgilerini doğrudan çekirdek veri yapılarından okur. Bu yöntem, /proc dosya sistemini tamamen atlayarak, kullanıcı alanı rootkit'leri veya LD_PRELOAD hileleri tarafından alt edilemeyen bir görünürlük sağlar. Bir saldırgan readdir() veya open() çağrılarını yakalamak için LD_PRELOAD kullandığında, geleneksel araçlar sadece rootkit'in izin verdiğini görürken, psc çekirdek belleğini doğrudan okuyarak sistemin gerçek durumunu ortaya koyar.

psc, herhangi bir konteynerin süreçlerini, açık dosyalarını ve ağ bağlantılarını doğrudan ana bilgisayardan denetleme yeteneği sunar. Bu, özellikle modern konteynerize edilmiş ortamlarda güvenlik ve izleme açısından kritik bir avantajdır. Aracı kullanmak için Linux çekirdeği 5.8 veya üzeri, Go 1.25 veya üzeri gibi belirli gereksinimler bulunmaktadır. Kurulumu ise make komutları veya manuel adımlarla kolayca yapılabilir.