특정 파일을 언제 읽었는지 알고 싶고, 프로세스 ID와 실행 파일 이름을 기록하고, 메일을 이용해 이메일로 알려주고 싶습니다.
커널 모듈이 이것을 할 수 있습니까? 커널 모듈이 이를 달성하는 유일한 방법입니까?
답변1
파일을 읽으면 커널 코드가 호출되므로 커널은 항상 알고 있습니다. 문제는 어떻게 알림을 받을 수 있느냐는 것입니다.
Linux에서는 다음을 사용할 수 있습니다.감사 하위 시스템. 달리기auditctl이 파일을 모니터링하는 규칙을 추가합니다.
auditctl -w /path/to/specific/file
이벤트가 감사 로그로 전송됩니다. 감사 이벤트를 이메일로 보내도록 요청을 구성할 수 있습니다.아우디 SPD- 바라보다audisp-remote를 사용하여 감사 로그를 보내고 netcat을 사용하여 감사 로그를 받는 방법몇 가지 예를 들어보세요. 또는 감사 보고서를 위한 이메일을 설정하세요.Scott Pack의 "Bumping the Idiots with Auditd 01".