热门标签
热门文章
- 1大数据的岗位职责,我们未来的大数据职业选择有哪些
- 2oracle sql developer 字符集,ORACLE pl/sqldeveloper 客戶端亂碼--修改Oracle客戶端字符集...
- 3idea 项目误删文件or拉取别人代码时未提交代码被覆盖怎么恢复_idea未提交代码找回
- 4Python 多线程编程-06-threading 模块 - Timer_threading.timer
- 5ubuntu neo4j单机安装和集群环境安装_java内嵌式开发neo4j支持集群模式吗
- 6woyundaole_error:(11, 30) java: 程序包com.cloudera.sqoop.lib不存在
- 7涨点利器:推荐系统中对双塔模型的各种改造升级(上)
- 8Vue2.5学习笔记(二)深入了解组件_vue2.5获取组件实例
- 9内存管理之连续-非连续内存分配方式_iceoryx 内存管理是连续还是非连续
- 10Java 反射机制 -- Java 语言反射的概述、核心类与高级应用
当前位置: article > 正文
【安全】使用Fanotify拦截文件操作_fanotify 阻断
作者:正经夜光杯 | 2024-06-28 11:06:24
赞
踩
fanotify 阻断
1 Fanotify的阻断能力
前文已经说过,Fanotify相比Inotify,比较大的优势是获取的数据多以及Fanotify的阻断能力。
阻断能力,顾名思义,就是在用户操作文件时,如果判断出文件是有问题的,可以不让用户操作。
要使用Fanotify的阻断能力,需要进行以下几个操作:
- fanotify_init创建文件描述符时需要设置FAN_CLASS_PRE_CONTENT或者FAN_CLASS_CONTENT标志位
- fanotify_mark添加文件路劲时设置FAN_OPEN_PERM或者FAN_ACCESS_PERM,分别拦截open和read系统调用,如果要拦截写操作,可以使用FAN_OPEN_PERM
- 通过select+read接收事件时,如果事件类型是FAN_OPEN_PERM或者FAN_ACCESS_PERM时,则使用write写入是否允许继续操作
2 Fanotify拦截文件操作的实现
#include <sys/fanotify.h> #include <fcntl.h> #include <stdio.h> #include <unistd.h> #include <errno.h> #include <stdlib.h> #include <string> #include <string.h> int main(int argc, char *argv[]) { int fan_fd, fd; if(argc < 2) { printf("usage: ./perm path\n"); return -1; } // 初始化fanotify的描述符,后续的操作都是通过该描述符 // 此时,flags设置为FAN_CLASS_PRE_CONTENT fan_fd = fanotify_init(FAN_CLASS_PRE_CONTENT, O_RDONLY); if (fan_fd < 0) { perror("fanotify_init"); return -1; } // 增加监控路径和事件类型,这里表明需要对open和read进行阻断 if (fanotify_mark(fan_fd, FAN_MARK_ADD, FAN_OPEN_PERM|FAN_ACCESS_PERM, AT_FDCWD, argv[1]) < 0) { perror("fanotify_mark"); return -1; } fd_set rfds; while (1) { // 使用select+read读取变更的事件 FD_ZERO(&rfds); FD_SET(fan_fd, &rfds); struct timeval timeo = {.tv_sec = 0, .tv_usec = 500000}; char buf[4096] = {0}; int ret = select(fan_fd + 1, &rfds, NULL, NULL, &timeo); if (ret < 0) { close(fan_fd); fan_fd = -1; break; } else if (ret == 0) { continue; } struct fanotify_event_metadata* metadata = reinterpret_cast<struct fanotify_event_metadata*>(buf); ssize_t len = read(fan_fd, buf, sizeof(buf)); if (len == -1 && errno == EAGAIN) { continue; } if (len == -1) { perror("read"); exit(EXIT_FAILURE); } struct fanotify_response resp; // 遍历返回的变更事件 for (; FAN_EVENT_OK(metadata, len); metadata = FAN_EVENT_NEXT(metadata, len)) { printf("fd=%d pid=%d ", metadata->fd, metadata->pid); if (metadata->mask & FAN_ACCESS) { printf("event=read "); } else if (metadata->mask & FAN_MODIFY) { printf("event=write "); } else if(metadata->mask & FAN_OPEN_PERM) { printf("event=open_perm response=allow "); // 收到open调用,返回允许 resp.fd = metadata->fd; resp.response = FAN_ALLOW; if(write(fan_fd, (char*)&resp, sizeof(resp)) < 0) { perror("write reponse"); close(metadata->fd); continue; } } else if(metadata->mask & FAN_ACCESS_PERM) { printf("event=access_perm response=deny "); // 收到read调用,返回禁止 resp.fd = metadata->fd; resp.response = FAN_DENY; if(write(fan_fd, (char*)&resp, sizeof(resp)) < 0) { perror("write reponse"); close(metadata->fd); continue; } } // 根据返回事件中的fd读取操作的文件路径 char path[1024] = {0}; char flink[1024] = {0}; sprintf(flink, "/proc/self/fd/%d", metadata->fd); if (readlink(flink, path, sizeof(path)) < 0) { printf("readlink %s failed: %s\n", flink, strerror(errno)); close(metadata->fd); printf("\n"); continue; } printf("path=%s\n", path); close(metadata->fd); } } close(fan_fd); return 0; }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/正经夜光杯/article/detail/765817
推荐阅读
相关标签
