strace, inotify

https://www.ibm.com/developerworks/ru/library/l-inotify/index.html

а если количество объектов для слежения больше 8192?

не знаю как насчет всех файлов, но для списка возможно подойдет auditd

echo 4000000 >/proc/sys/fs/inotify/max_user_watches

еще кстати не понятно можно ли как то получить имя приложения которое инициировало системный вызов. Допустим файл был создан в mc

Systemtap, ну или kprobe.

fatrace

Бери исходники fnotifystat и копай оттуда.

В принципе inotify подходит. Но правда узнать приложение которое инициировало системный вызов не получиться через него.

И если выставить максимальное количество итого объектов для слежения скажем 100000 Ничего не случится?

Ты всё равно работаешь от рута, раз перехватывать собрался.

Если тебе именно перехват, то можно через ftrace:

https://github.com/ilammy/ftrace-hook

или чуть более жёстко:

https://gist.github.com/ilammy/f39b7366f9dd2f15479d

Встраивание в ядро Linux: перехват системных вызовов https://habr.com/ru/company/securitycode/blog/245539/

Модификация системного вызова. Часть 2 https://habr.com/ru/post/267773/

Systemtap, уже сказали?

Ну или хуки для системных вызовов свои писать.

Мне нужно написать программу которая перехватывает системные вызовы open,read,write,close.

Только эти? На openat можно забить?

http://www.brendangregg.com/blog/2018-10-08/dtrace-for-linux-2018.html

linux security modules можешь загуглить

Есть модуль тестовый который перехватывает системные вызовы подменяя таблицу. В hooke open я получаю данные которые мне нужны имя файла, имя программы (current->comm), и pid пользователя(get_current->user()->uid). Вопрос в следующем: как мне передать все эти данные в пользовательское пространство. Следует это делать через файл или еще чего?

Можно двояко.

Вариант номер один — писать в своё какое-то место (чисто для своих задач определённое) в файловую систему /proc из kernel space и читать из /proc/где-то/там в user space.

Вариант номер два — дополнить систему хуков своим сисколлом или сисколлами, если их много. И с ним работать. Т.е., в приложении в user space, при необходимости вызывать что-то типа своей ф-ии gimme_data() и получать в возвращаемом значении некие данные (или заполненную структуру данных) из этого сисколла. Т.е., надо дополнять тогда Ваш хук для open().

Ну вот как-то вот так.

условие у меня.Мне ядро пересобирать нельзя. По второму варианту обязательна полная пересборка ядра?

Хммм...

Тогда лучше первый вариант.

Но тогда, чтобы получать изменения практически сразу, в приложении user space выставить наблюдение за файлами или каталогами в proc (куда писать будете) через механизм inotify (если ядро до 2.4, то dnotify).

Так-то, оно конечно можно и в «просто файлы» писать, на диске, но это будет скорее всего чуть медленнее, т.к. proc это псевдофайловая система, расположенная в RAM.

В принципе можно как вариант в настройках rsyslog.conf указать чтобы он перенаправлял логи ядра .kern в пайп. Предварительно создав пайп командой mkfifo. А при перехвате системных вызовов просто делать printk. Bсе сообщения для ядра попадут в пайп. Пайп открыть в пользовательской программе и уже там парсить Правда в этом случаем /var/log/syslog и /var/log/kernel.log будут жиреть на глазах(при перехвате open,read,write,close). и как вариант их по таймеру обнулять раз в 10 секунда

hex_dump

В ядре есть уже готовая print_hex_dump().

А зачем она нужна в контексте задачи?

Эта функция не используется. Возможно, она очень нужна была в процессе отладки.

Я просто решил сообщить ilammy об уже существующей функции, чтобы в следующий раз он сэкономил немного времени.

incron

Да.

В принципе, можно и так тоже.

Как Вам удобнее будет. Можно в принципе сразу пихать в логи.

В ядре есть

Штабле апи нонсенс.тхт

Появилась такая проблемка. Перехватывая системные вызовы read и write я знаю только файловый дескриптор(1 параметр). Так вот а как-нибудь можно из под ядра по файловому дескриптору получить полное имя файла?

Смысл в том чтобы перехватывать эти системные вызовы и писать в файл логов например фразу: «Системный вызов open для файла test выполнен программой mc 28.04.19 в 21:00»(Фраза взята к примеру) Разумеется в начале нужно следить за всеми файлами в операционной системе, но в дальнейшем будет список файлов за которыми нужно будет следить(писать в лог если есть данный файл в списке). Ядро 4.15.3. Само ядро пересобирать нельзя. Вот собственно в сторону чего копать?

Если задача не в том, чтобы написать это с нуля, а в том, чтобы получить рабочее решение, то это уже реализовано в auditd.

Если разрабатывать, то кроме inotify есть ещё разнообразные механизмы инструментации ядра и юзерспейса: гуглить в сторону systemtap, dtrace и так далее.

https://github.com/milabs/khook

Можно через proc опять же.

Посмотрите /proc/$PID/fd/, там можно получить соответствие fd, открытому в процессе полному пути открытого файла. Например, для Qt Creator для Sailfish OS, с PID == 1462,

ls -la  /proc/1462/fd

На всякий случай допишу что в /proc/$PID/fdinfo есть данные о текущем положении в файле и т.д. и т.п. Посмотрите man на proc.

В принципе, так-то, можно было бы и не писать хуки, а просто взять под наблюдение данную псевдо ФС и, как только появлялся бы новый каталог с новым pid, начинать отслеживать подкаталог fd... Но тут уже я не знаю как лучше.

перехватывать mount событие (комментарий)

Если ты не пишешь часть операционки с уровнем доступа к этим операциям, ты просто не сможешь получить к этому доступ.

Для какой операционки ты это делаешь? Тебе дали разрешение для написания программ такого уровня доступа? Троян пишешь?