该技术描述了一种基于Linux内核通知链的文件防篡改方法,包括启动系统程序、校验参数、判断路径和文件目录、检查chattr命令以及初始化inotifyevent事件监听。当文件创建或修改时,通过epoll监听事件并修改文件属性,增加不可修改属性,以防止文件被非法篡改。同时,还提出了一种相应的文件防篡改系统,包含多个模块以实现文件保护功能。
技术特征:
1.基于linux内核通知链技术的文件防篡改方法,其特征在于,包括如下步骤:
s1、启动系统程序,获取并校验输入参数是否合法,并在不合法时程序退出;
s2、在验证输入参数合法时,校验输入参数的路径或文件目录是否存在,并在不存在时程序退出;
s3、在验证存在路径或文件目录时,判断操作系统是否存在chattr命令,并在存在时,将chattr程序修改为防篡改子程序;
s4、初始化inotifyevent通知事件,并在初始化失败时程序退出;
s5、在初始化成功后,通过epoll监听in_envent_all事件变化,并捕获通知事件,根据事件的类型fork出子进程对于文件执行属性修改操作,增加文件不可修改属性。
2.根据权利要求1所述的基于linux内核通知链技术的文件防篡改方法,其特征在于,在所述s3中在判断操作系统不存在chattr程序时,判断防篡改程序是否存在,并在防篡改程序不存在时程序退出。
3.根据权利要求1所述的基于linux内核通知链技术的文件防篡改方法,其特征在于,所述s5中通过epoll监听in_envent_all事件变化的方法包括如下步骤:
在文件创建时,fork子进程目录会增加+a属性,设置目录新增不可修改和删除文件;文件创建时通过目录事件监听并添加目录监听事件,且fork子进程通过chattr库修改文件操作属性,并禁止文件删除、修改操作。
4.根据权利要求3所述的基于linux内核通知链技术的文件防篡改方法,其特征在于,所述文件创建包括in_create、in_move、in_modify、in_mask_add中的至少一种。
5.基于linux内核通知链技术的文件防篡改系统,其特征在于,包括参数校验模块、目录校验模块、chattr程序管理模块、通知事件初始化处理模块、事件变化监听模块和文件属性处理模块;
所述参数校验模块,用于校验输入参数是否匹配;
所述目录校验模块,用于在所述参数校验模块校验参数匹配时,校验目录是否存在;
所述chattr程序管理模块,用于判断操作系统中是否存在chattr命令,并在存在chattr命令时,将chattr程序修改为防篡改子程序;
所述通知事件初始化处理模块,用于对inotifyevent通知事件进行初始化处理;
所述事件变化监听模块,用于对初始化完成的事件变化进行监听;
所述文件属性处理模块,用于根据事件类型fork出子进程中对于文件执行属性的修改操作,并增加文件不可修改属性。
6.根据权利要求5所述的基于linux内核通知链技术的文件防篡改系统,其特征在于,所述chattr程序管理模块包括用于对chattr程序相关命令进行查询的chattr程序查询模块以及用于将存在的chattr程序替换成防篡改子程序的防篡改子程序替换模块。
扫一扫
1232
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
