利用fanotify进行文件系统实时监测的认识

最新推荐文章于 2023-11-06 14:44:58 发布
最新推荐文章于 2023-11-06 14:44:58 发布
阅读量3.8k 收藏 9
点赞数 1
分类专栏: linux 文章标签: fanotify linux 文件监测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36573828/article/details/99815868
版权

目录

对最近学习Fanotify的一些理解

Fanotify (fscking all notifiction and file access system) 是一个 notifier,即一种对文件系统变化产生通知的机制。根据man7手册的阅读,可以知道fanotify是inotify的一个新进版本,主要是用于文件系统扫描的检测和分层存储的管理。最近几年对fanotify的完善也是很快的,查看了一下源码可以看出来fanotify支持的文件系统事件已经比inotify多了。个人认为fanotify与inotify最大区别是fanotify加入了打开关闭等事件的许可判断。即在打开或者关闭文件之前,需要程序员注册一个函数,根据程序所需要去判断是否允许打开文件或者关闭文件,然后将判断的结果再写入内核中,此时内核会执行该结果(相当于Ring0级别的Hook)。很明显,这几个文件系统事件可以用来实现一个文件监测控制系统,除了文件系统的扫描以外还可以控制文件的打开关闭等操作。很符合杀毒软件的开发。

Fanotify知识总结

fanotify基本功能

  1. 文件系统事件的通知
    这个功能和inotify的功能是一样的,即监听一些普遍的文件系统事件,例如读写打开关闭等操作的发生。当这些事件发生后,fanotify就会通知程序员发生了什么事件。

  2. 实现文件系统的监测管控
    该功能是实现全文件的系统的监测。相对于inotify来讲,fanotify在该功能上更具备扩展性。inotify在进行监控的时候,是需要一个wd对象进行监控的,所以当文件系统一复杂,wd的维护就变得麻烦。而fanotify所支持的三种模式可以使得该管理变得简洁。

Fanotify 有三个个基本的模式:directed,per-mount 和 global。其中,directed 模式和 inotify 类似,直接工作在被监控的对象的 inode 上,一次只可以监控一个对象。因此需要监控大量目标时也很麻烦。Global 模式则监控整个文件系统,任何变化都会通知 Listener。杀毒软件便工作在这种模式下。Per-mount 模式工作在 mount 点上,比如磁盘 /dev/sda2 的 mount 点在 /home,则 /home 目录下的所有文件系统变化都可以被监控,这其实可以被看作另外一种 Global 模式。
长期以来,人们都希望 Linux 的 notifier 可以支持 sub-tree 通知,比如图 2 的众多监控对象都在 /home 目录下面,假如 notifier 可以指定监控整个 /home 目录,其下任意文件或者子目录的变化都可以引起通知,监控程序便无需为每一个 /home 下面的子目录和文件一一添加 watch descriptor 了。
在很久以前,Fanotify 就暗示说实现 sub-tree notification 不是不可能的,但直到今天 fanotify 依然无法支持 sub-tree 监控。但比 inotify 进了一步的是,fanotify 可以监控某个目录下的直接子节点。比如可以监控 /home 和他的直接子节点,文件 /home/foo1,/home/foo2 等都可以被监控,但 /home/pics/foo1 就不可以了,因为 /home/pics/foo1 不是 /home 的直接子节点。希望在后续的 fanotify 版本中可以弥补这个不足。
面对 sub-tree 监控的需要,目前 fanotify 的折中方案是采用 Global 模式,然后在监控程序内部进行判断,剔除那些不感兴趣的文件系统对象。这虽然不完美,但也算一个可行的方案吧。相比 inotify,有一点儿总比完全没有好一些吧。

  1. 访问控制
    访问控制这个功能是之前inotify没有的,这是fanotify和inotify之间最大的不同之处。fanotify增加了访问控制的事件,例如:FAN_OPEN_PERM、FAN_CLOSE_PERM等,这些事件需要程序员通过程序需要判断该文件是否被允许打开或者关闭操作,并把该决策向内核进行写入和注册,最后让系统调用返回该结果。
  2. 监听者级别的划分
    该功能便是允许多个Listener监听同一个文件对象,并且可以设置Listener的级别。fanotify将所有的Listener设置了三个group,其优先从高到低分别为:FAN_CLASS_PRE_CONTENT、FAN_CLASS_CONTENT、FAN_CLASS_NOTIF

从上述宏的命名也大致可知:FAN_CLASS_PRE_CONTENT 用于 HSM 等需要在应用程序使用文件的 CONTENT 之前就得到文件操作权的应用程序;FAN_CLASS_CONTENT 适用于杀毒软件等需要检查文件 CONTENT 的软件;而 FAN_CLASS_NOTIF 则用于纯粹的 notification 软件,不需要访问文件内容的应用程序。

  1. 监听者程序的PID过滤
    监听者程序也可能会触发fanotify中的事件,在fanotify中,如果触发者是Listener的PID的话,fanotify就会忽略该事件,避免两者进入死循环。能够实现该过滤的原因是fanotify在事件中包含了Listener的PID,而inotify并不具备该功能。

  2. 缓存机制
    例如一个文件没有进行任何修改,但是每次都需要扫描监测的话会很麻烦,这时候fanotify的缓存机制就有很好的体现,假设它对某个文件对象设置了ignore mask标志位的话,只会对该对象进行一次扫描,之后如果该文件对象没有进行任何修改的话,它的打开关闭操作就会正常执行,fanotify会忽略访问控制事件,始终允许访问。如果进行了修改的话,fanotify会自动清除它的ignore mask标志位,然后对它进行正常的访问控制等事件。

Fanotify 支持这种 cache,也叫做 ignore marks。它的工作原理很简单,假如对一个文件系统对象设置了 ignore marks,那么下次该文件被访问时,相应的事件便不会触发访问控制的代码,从而始终允许该文件的访问。
杀毒软件可以这样使用此特性,当应用程序第一次打开文件 file A 时,Fanotify 将通知杀毒软件 AV 进行文件内容扫描,如果 AV 软件发现该文件没有病毒,在允许本次访问的同时,对该文件设置一个 ignore mark。

fanotify类型函数

fanotify_init()
#include <fcntl.h>
#include <sys/fanotify.h>
int fanotify_init(unsigned int flags, unsigned int event_f_flags);

该函数初始化fanotify事件组,并且该fanotify组的事件队列的int类型句柄。它的另一个优势,在这里可以看出,可以通过epoll、select、kqueue等监听。

第一个flags参数包含一个多位字段,该字段定义侦听应用程序的通知类,并进一步包含一个位字段,指定文件描述符的行为。其中包括:

FAN_CLASS_PRE_CONTENT:
此值允许接收通知文件已被访问的事件,以及可能访问文件时用于权限决策的事件。它适用于需要在包含最终数据之前访问文件的事件侦听器。例如,分层存储管理器可能使用这个通知类。

FAN_CLASS_CONTENT:
此值允许接收通知文件已被访问的事件,以及可能访问文件时用于权限决策的事件。它是为那些需要访问已经包含最终内容的文件的事件侦听器而设计的。例如,恶意软件检测程序可能会使用这个通知类。

FAN_REPORT_FID (since Linux 5.1):
此值允许接收包含有关与事件关联的底层文件系统对象的附加信息的事件。附加结构封装了关于对象的信息,并与通用事件元数据结构一起包含。用来表示与事件相关的对象的文件描述符被替换为文件句柄。它适用于可能发现使用文件句柄标识对象比使用文件描述符更合适的应用程序。此外,它还可以用于对目录条目事件感兴趣的应用程序,例如FAN_CREATE、FAN_ATTRIB、FAN_MOVE和FAN_DELETE。注意,在监视挂载点时不支持使用目录修改事件。此标志不允许使用FAN_CLASS_CONTENT或FAN_CLASS_PRE_CONTENT,并将导致错误EINVAL。更多信息请参见fanotify(7)。

FAN_CLASS_NOTIF(默认值):
这是默认值。它不需要指定。此值只允许接收通知文件已被访问的事件。不可能在访问文件之前做出权限决定。

第二个参数和open函数的第二个参数意义相同。event_f_flags参数定义将在为fanotify事件创建的打开文件描述上设置的文件状态标志。有关这些标志的详细信息,请参见open(2)中的标志值描述。event_f_flags包含一个用于访问模式的多位字段。该字段可以取以下值:O_RDONLY、O_WRONLY、O_RDWR.

fanotify_mark
 #include <sys/fanotify.h>
int fanotify_mark(int fanotify_fd, unsigned int flags,
                         uint64_t mask, int dirfd, const char *pathname);

fanotify_mark()在文件系统对象上添加、删除或修改fanotify标记。调用者必须对要标记的文件系统对象具有读权限。

第一个参数fanotify_init函数的返回值,第二个参数标志位是描述药执行的修改,它包含很多数值,具体参考man 7手册查看。
man 7 fanotify_mark参数含义

fanotify使用

fanotify编程例子

运用中的问题

由于这次是因为比赛接触到的fanotify,比赛的环境是龙芯的机子,深度的操作系统。其中我们运用FAN_OPEN_PERM的时候是被操作系统视为无效参数,经过查看.config文件发现,其中的一些参数是不允许开启的,虽然经过修改等进行内核重编但是也没有在该机子上实现FAN_OPEN_PERM的使用。这个问题以目前的水平未能追到底。不知道是什么原因导致fanotify的可移植性差。

Jialuhu
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
facron:fanotify cron系统
05-09
facron是新一代文件系统cron 参见和以获得更多详细信息。 最新版本是 建立法卡龙: git clone git://github.com/Keruspe/facron.git cd facron ./autogen.sh ./configure --sysconfdir=/etc --with-systemdsystemunitdir=/usr/lib/systemd/system make sudo make install facron的配置文件是/etc/facron.conf 。 您可以在此文件中放入任意数量的条目,每行一个条目。 每行必须采用以下格式: 每次我们收到与给定文件路径上的fanotify掩码匹配的事件时,都会启动命令。 可用的fanotify口罩为: FAN_ACCESS FAN_MODIFY FAN_CLOSE_WRITE FAN_CLO
linux监控文件事件的4种方法
12-16
linux监控文件事件的4种方法 linux操作系统下,如何监听文件的新建,保存,复制,移动剪切,删除事件
linuxNotify.zip
05-13
linux文件监控系统内核层实现inotify和应用层fanotify的实现的使用详细例子。。。
fanotify:一个简单的fanotify示例,用于监视文件系统上的事件
05-08
Fanotify-监视文件系统事件 系统的一个简单C示例要求linux。 建造 make 跑步 要监视根文件系统运行中的所有关闭事件: sudo ./fanotify CLOSE MOUNT /
中fuse_一个Fanotify和FUSE配合使用导致的问题
weixin_39806388的博客
12-29 246
说明:本文所使用的内核版本为3.10.0-1062.el7.x86_64。前面文章介绍的fanotify机制可用于监控文件操作产生的事件(比如open, read等),而这些文件会来自不同类型的文件系统,其中比较特殊的一种是FUSE。那fanotify能不能支持对FUSE类型文件系统的监控呢?【现象】还是拿fuse.sshfs来进行实验,这里使用的"sshfs"是基于SFTP文件传输协议...
fanotify 监控文件系统
张同光 (Tongguang Zhang):Hello everyone !
12-12 1482
fanotify 监控文件系统
hook 监控文件 c++_Linux文件事件监控之Fanotify [一]
weixin_39605326的博客
11-22 431
从监听到监控Linux文件事件监听的原理并不复杂,简单说就是当一个应用层的进程操作一个目录或文件时,会触发system call,此时内核的notification子系统可以守在那里,把该进程对文件的操作上报给应用层的监听进程(称为listerner)。在这个领域,自2001年的2.4版本就引入的dnotify可以说是先驱,然而,它的缺陷实在太多了。正如其名字传达的,只能监控directory,...
文件监控机制fanotify学习总结
changke的博客
01-16 2396
fanotifyLinux平台上新出现的一种文件监控技术,常被用作杀毒软件或者病毒程序恶意访问控制。之前有听过或使用过inotify的,都知道inotify是相比于fanotify更早的文件操作事件监控技术,fanotify是新出来的,实现的功能不比inotify多,但是他提供的对于监控文件的事件比较重要的功能权限检查和访问控制而inotify没有提供,所以这一点优势是其能存在的原因。 fani...
Hook android系统调用研究(一)
墨鱼菜鸡
02-20 444
本文的博客链接:http://blog.csdn.net/qq1084283172/article/details/55657300 一、Android内核源码的编译环境 系统环境:Ubuntu 14.04 x64bit Android系统版本:Android 4.4.4 r1 Android内核版本:a...
fanotify实现原理源码分析
xsinlink的博客
11-06 256
fanotify主要使用。
被中国移动dns劫持了,怎么让它停止劫持?
hua520064的博客
12-03 3567
运营商最常用的是劫持手段有两种:DNS劫持和TCP劫持, DNS劫持也可以理解为用户的请求去往了错误的DNS服务器进行查询解析,返回来的目的主机IP自然不是我们想要达到的资源服务器主机,这往往发生在用户请求的第一步。 IIS7网站监控可以及时防控网站风险,快速准确监控网站是否遭到各种劫持攻击,网站在全国是否能正常打开(查看域名是否被墙),精准的DNS污染检测,具备网站打开速度检测功能,第一时间知道网站是否被黑、被入侵、被改标题、被挂黑链。精益求精的产品,缺陷为零数据提供! 它可以做到以下功能: 1、检测网站
fanotify监控文件使用案例及输出操作的进程名和PID
elimuzi的博客
08-19 1129
#define _GNU_SOURCE #include <errno.h> #include <fcntl.h> #include <limits.h> #include <stdio.h> #include <stdlib.h> #include <sys/types.h> #include <sys/fanotify.h> #include <sys/stat.h> #include <unistd.
Linux fanotify 解析
pwl999的博客
06-16 5938
Linux fanotify 解析1. 基本介绍1.1 基本原理1.2 fanotify基本功能2. 用户态实现2.1 实例代码2.2 API介绍3. 内核实现3.1 配置fanotify3.1.1 fanotify_init()3.1.2 fanotify_mark()3.2 触发fanotify3.3 响应fanotify3.3.1 fanotify_read()3.3.2 fanotify_write()参考文档: 1. 基本介绍 Fanotify (Filesystem wide access no
fanotify 允许打开事件用例
SHELLCODE_8BIT的博客
06-08 152
【代码】fanotify 允许打开事件用例。
linux监控新文件,如何为Linux新的“fanotify文件系统监控功能进行编程?
weixin_33181159的博客
04-30 302
This LWN article经常被引用作为fanotify的文档来源。但是描述似乎已经过时了。 fanotify不再工作使用套接字连接。相反,在sys / fanotify.h中声明了两个新的libc函数包装系统调用。一个叫做fanotify_init,另一个是fanotify_mark。在撰写本文时,这些系统调用仍然包含在list of missing manual pages中。但是,这些...
fanotify来实现Linux下的进程隐藏
pein66的博客
03-28 1154
Index1.原理2.目前比较常见的Linux进程隐藏方法1.1.注入preload挂钩readdir1.2.直接替换ls/ps等系统程序3.fanotify是什么?4.使用fanotify进行进程隐藏 1.原理 在Linux下,一切皆文件。所有的进程信息,都存放在/proc/目录下,每一个pid一个目录。一般来说,遍历检查进程的方法,就是遍历检查/proc目录,检查所有名称是数字的子目录,检查其...
linux fanotify
faxiang1230的专栏
01-19 1425
IT安全行业比较注重用户行为监控,在linux上如何做行为监控呢?首先监控可以分作两大类:本地行为和网络行为,大致是如何做的呢?在linux系统中分为用户空间和内核空间,又有进程来提供隔离,通常是不能实时监控到其他用户进程的行为的.不过linux通过/proc和/sys提供了很多有用的接口,工具通过这些接口提取信息使可读性更好,例如top,netstat等,其中有一些接口能够被用来进行monito...
epoll+fanotify实现监控目录以及子目录
changke的博客
01-17 844
只说下坑点:调用fanotify_mark的时候,传文件的绝对路径,这时候使其忽略AT_FDCWD标志设置。 一些功能描述在之前的博客中已经总结! 源代码,欢迎Star或Fork ...
c fanotify演示
最新发布
02-08
fanotifyLinux内核的一个特性,用于监控文件系统中的文件和目录的访问、修改和创建等事件。它是一种文件通知机制,可以帮助开发人员实现对文件系统实时监控。 fanotify API提供了用于创建fanotify实例、注册回调函数、设置事件掩码等功能。通过调用相关的系统调用,可以将需要监控的文件或目录添加到fanotify实例中,并定义相应的事件掩码。当被监控的文件或目录上发生指定的事件时,fanotify会触发相应的回调函数,通知监听程序。 fanotify的演示可以通过编写一个简单的C程序来实现。首先,需要在程序中使用fanotify_init函数创建一个fanotify实例,获取对应的文件描述符。接着,使用fanotify_mark函数将需要监控的文件或目录添加到fanotify实例中,同时指定所需的事件掩码。最后,编写相应的回调函数来处理fanotify触发的事件。 在编写回调函数时,可以根据事件类型执行相应的操作。例如,当文件被访问时,可以打印相关的信息或进行其他处理;当文件被修改时,可以记录修改的内容或触发相应的操作。 通过这样的演示,可以深入了解并掌握fanotify的使用方法和原理。fanotify的使用场景广泛,例如文件审计、防病毒软件、实时备份等。它提供了高效且灵活的文件系统监控能力,帮助开发人员提高系统的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值