Linux - fanotify，但是对于exec()呢？

Question

除了执行()操作之外，是否有一个像fanotify这样的设施？类似于MacOS中的kauth，但在用户地。

fanotify似乎只通知打开/关闭/读/写(并允许/拒绝)文件。

我见过其他手段 (也是这里)可以在叉和exec上发出通知的代码，但是没有允许或拒绝执行的方法。而且，这种方法似乎也有缺点，因为并不是所有的内核都是用netlink/proc连接器编译的，而且它可能会被事件淹没。

Answer 1

看起来Linux终于在内核5.0中添加了这个特性，以支持这个特性(例如，Ubuntu19.04版)。

详情请参见man 2 fanotify_mark。相关的标志是FAN_OPEN_EXEC和FAN_OPEN_EXEC_PERM。

Answer 2

也许您正在寻找SELinux，这是一个Linux内核模块，它提供了执行细粒度安全策略的功能，比如执行某个文件的人或什么。

Answer 3

我相信“过程事件连接器”是你正在寻找的。此接口将允许您接收fork、exec和setuid/setguid事件的通知。

在LWN (https://lwn.net/Articles/157150/)上阅读更多内容，在http://netsplit.com/the-proc-connector-and-socket-filters上阅读一篇伟大的博客文章(不是我的)。