我很好奇何时正在使用某个特定目录以及何时将其加载到内存中。有没有办法在linux文件系统中放置一个低级别的钩子,它说当读取带有执行选项的文件时记录此事件。
其他问题突出 审计工具 或在特定的shell中跟踪。在我看来,完美的解决方案将锁定可执行文件,除非日志事务成功并且由配置文件(即executabletracker.conf)的存在触发。
好吧嗯,如果我们在最近的LTS版本的ubuntu中使用bash怎么办?
—
John Drinane
一个 目录 永远不会“装入记忆”。你可以使用
—
dirkt
inotify 用于监视文件系统事件的API,例如文件读取访问(并记录它们)。我不确定你为什么认为锁定与此有关。
我不认为这与锁定有关......这就是我希望实施的内容。感谢inotify提及可能有帮助。我正在思考的伪代码:对执行文件的inotify事件,如果目录被标记为监视然后中断执行并使用元数据记录执行,则恢复执行。
—
John Drinane
Regardless of shell? 。我认为由于系统和可移植性依赖性的原因,应该考虑shell。