内核能知道何时读取文件吗？

Question

我想知道什么时候读取一个特定的文件，记录进程ID和可执行文件的名称，并通过使用邮件发送电子邮件通知我。

内核模块能做到这一点吗？内核模块是实现这一目标的唯一途径吗？

Answer 1

读取文件会调用内核代码，所以内核总是知道。问题是如何让它通知你。

在Linux上，您可以使用审计子系统。运行auditctl以添加查看此文件的规则：

auditctl -w /path/to/specific/file

事件被发送到审计日志。您可以通过配置奥德来请求通过电子邮件发送审计事件-有关示例，请参阅如何使用audisp遥控器发送审计日志并使用netcat接收这些日志。或者，设置审计报告的电子邮件；参见史考特·帕克的“审计01树桩”。