https://www.opennet.ru/openforum/vsluhforumID9/8179.html Мне нужно написать программу которая ведёт журнал обращений к файловой системе линукса (к конкретной папке).<br><br>Пробовал использовать для этих целей inotify, но эта технология реагирует только на состоявшиеся события (чтение, открытие и т.д.), а мне нужно журналировать и неудачные попытки обращения к ФС (пользователь не имеющий прав пытается открыть/редактировать папку/файл).<br><br>Вопрос: с помощью каких механизмов/технологий это можно зделать? Или, если такие програмы уже существуют, то как они называются?<br><br>П.С.<br>Знаю что можно через перехват системных вызовов, но для этого нужно патчить ядро (у меня 2.26), но хотелось бы как то попроще/покультурнее...<br><br>П.П.С<br>Пишу под Убунту 8.10 на С++<br> https://www.opennet.ru/openforum/vsluhforumID9/8179.html#7 Thu, 30 Jul 2009 03:20:25 GMT &gt;Мне нужно написать программу которая ведёт журнал обращений к файловой системе линукса <br>&gt;(к конкретной папке). <br>&gt;<br>&gt;Вопрос: с помощью каких механизмов/технологий это можно зделать? Или, если такие програмы <br>&gt;уже существуют, то как они называются? <br><br>1. Можно заменить системный вызов open.<br>LD_PRELOAD=/your/lib/wrapper.so<br>export ее надо сразу из init.<br><br>Сразу одно НО: Этот механизм часто не работает (по соображениям безопасности) в программах с SUID.<br><br>2. Можно написать драйвер - обертку.<br>За пример я бы взял не FUSE (незачем для такой задачи весь поток прогонять через userspace), а aufs или unionfs.<br>Дальше вопрос через что проще отдавать в userspace.<br><br>3. Зарегистрировать обработчик обращений к fs.<br>Навскидку не скажу, посмотреть можно в ядреной части kaspersky/drweb(если есть исходники), любой антивирь-монитор, FAM.<br>http://wiki.linuxquestions.org/wiki/FAM<br>Там кстати ответ на твой вопрос - волшебное слово dnotify.<br> https://www.opennet.ru/openforum/vsluhforumID9/8179.html#6 Sat, 28 Mar 2009 21:57:29 GMT &gt;Так как насчёт программирования, как эти программы/демоны написаны? как они перехватывают системные вызовы к ФС (в часности auditd)? <br><br>Скачай исходник, да посмотри.<br> https://www.opennet.ru/openforum/vsluhforumID9/8179.html#5 Sat, 28 Mar 2009 21:40:26 GMT Всем спасибо за ответы, но я забыл нагласить, что я пишу программу (на самом деле это лабораторная) и журналирование это одна из её функций, поэтому предпочтительней было бы использовать не отдельный демон/програму, а технологию которую можно интегрировать в мою програму (чтото похожее на inotify).<br><br>Если использовать fuse, то нужно много переписывать/розбиратся, а все остальные варианты - это отдельные программы, и про strace я знал))<br><br>Так как насчёт программирования, как эти программы/демоны написаны? как они перехватывают системные вызовы к ФС (в часности auditd)?<br> https://www.opennet.ru/openforum/vsluhforumID9/8179.html#4 Sat, 28 Mar 2009 21:09:48 GMT &gt;blktrace ? <br><br>ага и strace Ж:-)<br><br>и почему google ещё не у всех работает, нужно им пожаловаться.<br> https://www.opennet.ru/openforum/vsluhforumID9/8179.html#3 Sat, 28 Mar 2009 20:47:49 GMT blktrace ?<br> https://www.opennet.ru/openforum/vsluhforumID9/8179.html#2 Sat, 28 Mar 2009 18:06:38 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Вопрос: с помощью каких механизмов/технологий это можно зделать? Или, если такие програмы <br>&gt;уже существуют, то как они называются? <br>&gt;<br>&gt;П.С. <br>&gt;Знаю что можно через перехват системных вызовов, но для этого нужно патчить <br>&gt;ядро (у меня 2.26), но хотелось бы как то попроще/покультурнее... <br>&gt;<br>&gt;П.П.С <br>&gt;Пишу под Убунту 8.10 на С++ <br><br>auditd?<br>systemtap?<br>selinux?<br> https://www.opennet.ru/openforum/vsluhforumID9/8179.html#1 Sat, 28 Mar 2009 17:58:41 GMT &gt;Мне нужно написать программу которая ведёт журнал обращений к файловой системе линукса <br>&gt;(к конкретной папке). <br><br>FUSE? Т.е. создается виртуальная ФС, которая переадресуя куда нужно все обращения, их еще и протоколирует.<br>