我想知道何时读取特定文件并记录进程 ID 和可执行文件名称,并通过使用邮件发送电子邮件来通知我。
内核模块可以做到这一点吗?内核模块是实现这一目标的唯一方法吗?
答案1
读取文件会调用内核代码,因此内核始终知道。问题是如何让它通知你。
在 Linux 上,您可以使用审计子系统。跑步auditctl添加规则来监视此文件:
auditctl -w /path/to/specific/file
该事件将发送到审核日志。您可以通过配置请求通过电子邮件发送审核事件奥迪SPD- 看如何使用 audisp-remote 发送审计日志并使用 netcat 接收审计日志举些例子。或者,设置审核报告的电子邮件;看Scott Pack 的“用 Auditd 01 难倒笨蛋”。