[英]How do I program for Linux's new `fanotify` file system monitoring feature?
[英]Linux - fanotify, but for exec()?
有没有像fanotify这样的工具,但对于exec()操作? 像MacOS中的kauth ,但是在用户区域。
fanotify似乎只通知(和允许/拒绝)文件打开/关闭/读/写。
我已经看到了可以通过其他方式 (也在这里 )通过fork和exec通知的代码,但是没有办法允许或拒绝exec。 此外,这种方法似乎存在缺陷,因为并非所有内核都使用netlink / proc连接器编译,并且它可能会被事件所淹没。
也许您正在寻找SELinux ,这是一个Linux内核模块,它提供了细粒度的安全策略的实施,比如谁或什么来执行某个文件。
我相信“Process Events Connector”正是您所寻找的。 此接口将允许您接收fork,exec和setuid / setguid事件的通知。
在http://netsplit.com/the-proc-connector-and-socket-filters上阅读更多LWN( https://lwn.net/Articles/157150/ )和一篇很棒的博客文章(不是我的)。
看起来Linux终于将这个功能添加到内核5.0中的fanotify(例如在Ubuntu 19.04中提供)。
有关详细信息,请参阅man 2 fanotify_mark
。 相关标志是FAN_OPEN_EXEC
和FAN_OPEN_EXEC_PERM
。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.