Linux监控文件读写

前言

最近想写deepin编程比赛中的文件管控系统。

如何去监测目标文件, 我思考了很久仍没有头绪,翻了翻开发大赛入围名单, 发现马艺诚同学使用了hook方法来监测进程操作目标文件。于是下午试了试, 确实可行(毕竟人家已经做出来了嘛)。下面讲解一下我下午尝试的read检测功能。

正文

废话不多说, 先贴代码。

#include <stdio.h>
#include <string.h>
#include <dlfcn.h>
#include <sys/stat.h>
#include <unistd.h>
#include <sys/types.h>
#include <fcntl.h>

typedef ssize_t (*READ)(int, void *buf, size_t count);
 
ssize_t read(int fd, void *buf, size_t count)
{
  static void *handle = NULL;
  static READ old_read = NULL;
 
  if( !handle )
  {
    handle = dlopen("libc.so.6", RTLD_LAZY);
    old_read = (READ)dlsym(handle, "read");
    char fdaddr[256];
    sprintf(fdaddr, "/proc/%d/fd/%d", getpid(), fd);
    char realaddr[256] = {0};
    readlink(fdaddr, realaddr, 256);
    if(strcmp("/home/ciaiy/Deskto
  • 1
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
Kubernetes(K8S)是一个流行的容器编排系统,而Tracee是一个开源的轻量级系统级审计框架,用于监控和检测Linux系统中的恶意行为。要在Kubernetes中使用Tracee来监控文件读写,可以按照以下步骤操作: 1. 安装Tracee DaemonSet:Tracee提供了一个DaemonSet,可以在Kubernetes集群的每个节点上运行Tracee。可以使用以下命令来安装Tracee DaemonSet: ``` kubectl apply -f https://raw.githubusercontent.com/aquasecurity/tracee/main/deploy/kubernetes/tracee-daemonset.yaml ``` 2. 创建一个用于监控文件读写的Tracee策略:Tracee使用策略来定义要监控的系统调用和事件。可以创建一个策略来监控文件读写事件。以下是一个示例策略: ``` apiVersion: tracee.io/v1 kind: Tracee metadata: name: tracee-file-monitor spec: tracing: events: - name: open - name: openat - name: read - name: write ``` 该策略将监控打开文件、读取文件和写入文件的事件。 3. 应用Tracee策略:使用以下命令将Tracee策略应用于Kubernetes集群: ``` kubectl apply -f tracee-file-monitor.yaml ``` 4. 检查Tracee监控结果:可以使用以下命令检查Tracee监控的结果: ``` kubectl logs -l app=tracee ``` 这将显示Tracee的日志,其中包含有关已监视的系统调用和事件的信息。 请注意,Tracee监控文件读写是一项高级任务,需要一定的Linux系统知识。如果您不确定如何使用Tracee监控文件读写,请咨询专业人士的意见。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值