detect-running-alg-socket: LinuxでAF_ALGソケットを使用しているプロセスを検出

現在のセキュリティ環境において、カーネルモジュール管理はシステムの堅牢化における重要な機能です。`aead`などの技術を介した`AF_ALG`インターフェースを利用する脆弱性の最近の導入は、緩和に対する詳細なアプローチを要求しています。攻撃対象領域を縮小するためにモジュールをブラックリストに登録または無効にすることは魅力的ですが、重要なアプリケーションがそれに依存している場合、大規模なサービス停止を引き起こす可能性があります。

`detect-running-alg-socket`は、この具体的な運用上の懸念に対応します。制限的な変更を行う前に、*誰が*`AF_ALG`を使用しているかを判断するための焦点を絞った監査メカニズムを提供します。その機能はシンプルでありながら非常に価値があります：システムの`/proc`ファイルシステム（特にファイル記述子）をスキャンし、AF_ALGインターフェースに関連するソケットを開いているまたはアクティブに使用しているすべてのアクティブプロセスを特定します。クリーンなJSONフォーマットで表示される出力は、PID、特定のファイル記述子、プロセス名を即座にマッピングし、手動の`lsof`や生のシェルスクリプティングからの推測を排除します。

DevOpsおよびSecOpsチームにとって、これらの依存関係を確実に列挙する能力は最も重要です。ツールの構造化された出力は、単なる情報提供だけでなく、実行可能なデータです。管理者は依存関係マップを生成し、アプリケーションのネットワークスタックの更新や、モジュール削除前の特定の例外のホワイトリスト化など、必要な移行計画に情報を提供できます。ストリーミングモードの追加は、継続的または対話的な監視シナリオに有用な堅牢性のレイヤーを提供します。

コアユーティリティの有用性は明らかですが、ユーザーはツールの運用範囲に注意する必要があります。使用状況の検出は、その使用の*セキュリティコンテキスト*を理解することと同等ではありません。`AF_ALG`を使用しているプロセスは正当なものである可能性がありますが、収集されたデータは、使用パターン自体がリスクを構成するかどうかを判断するためにさらなる調査が必要です。さらに、`/proc`ファイルおよびファイル記述子にアクセスする性質上、出力例で示されている可能性のある権限エラーのため、完全かつ正確な画像を得るには、多くの場合、昇格された権限（root/sudo）でツールを実行する必要があります。