我的目标:
当打开文件/脚本以使用文件的绝对路径(或者可能是工作目录,以解析文件的绝对路径)执行时,从内核接收事件。
我不想在每个打开的文件上获取事件。
我尝试监听跟踪点事件
sched:sched_process_exec并查看进程何时是解释器,但文件名并不总是显示,当它显示时,它只是相对路径,因此我无法检查文件是否来自该类型我正在寻找(脚本)。我知道可以选择使用 fanotify 设置 FAN_OPEN_EXEC 标志,但这仅适用于较新的内核(> 5.0),并且我也需要针对较旧的内核的一些东西(根据文档,也不确定它是否适用于文件) 。
有任何想法吗?