特定のファイルをいつ読んだかを知りたいのですが、プロセスIDと実行ファイル名を記録し、メールを使ってメールで知らせたいです。
カーネルモジュールはこれを行うことができますか?カーネルモジュールがこれを達成する唯一の方法ですか?
答え1
ファイルを読み込むとカーネルコードが呼び出されるので、カーネルは常に知っています。問題は、どのように通知を受け取ることができるかということです。
Linuxでは、次のものを使用できます。監査サブシステム。走るauditctl
このファイルを監視するルールを追加します。
auditctl -w /path/to/specific/file
イベントは監査ログに送信されます。監査イベントを電子メールで送信するように要求を構成できます。アウディSPD- バラよりaudisp-remoteを使用して監査ログを送信し、netcatを使用して監査ログを受信する方法いくつかの例を見てください。または、監査レポートの電子メールを設定してください。Scott Packの「Bumping the Idiots with Auditd 01」。