拦截文件系统系统调用

Question

我正在编写一个应用程序，我需要拦截一些文件系统系统调用，例如。取消链接。我想保存一些文件，比如 abc.txt。如果用户删除该文件，那么我需要将其复制到其他地方。所以我需要在删除 abc 之前取消链接来调用我的代码，以便我可以保存它。我已经完成了与拦截系统调用相关的线程，但是像 LD_PRELOAD 这样的方法在我的情况下不起作用，因为我希望它是安全的并在内核中实现，所以这个方法不会有用。 inotify 在事件发生后发出通知，因此我无法保存它。你能建议任何这样的方法吗？我想在内核模块中实现它，而不是修改内核代码本身。 Graham Lee建议的另一种方法，我曾想过这种方法，但它有一些问题，我需要所有文件的硬链接镜像，它不消耗空间，但仍然可能有问题，因为我必须重复镜像驱动器以保持镜像最新日期，它也不能跨分区工作，并且在不支持链接的分区上工作，所以我想要一个解决方案，通过它我可以将挂钩附加到文件/目录，然后监视更改而不是重复扫描。 我还想添加对写入修改文件的支持，我无法使用硬链接。 我想通过替换系统调用来拦截系统调用，但我在 linux > 中找不到任何执行此操作的方法3.0。请建议一些方法来做到这一点。

Answer 1

至于挂钩内核并拦截系统调用，这是我在编写的安全模块中所做的事情：

https://github.com/cormander/tpe-lkm

查看hijacks.c和symbols.c的代码；它们的使用方式在 security.c 内的 hijack_syscalls 函数中。我还没有在linux上尝试过这个> 3.0 尚未发布，但相同的基本概念应该仍然有效。

这有点棘手，您可能必须编写大量内核代码才能在取消链接之前进行文件复制，但这里是可能的。

Answer 2

一个建议可能是用户空间中的文件系统（FUSE）。也就是说，编写一个 FUSE 模块（当然，在用户空间中），它拦截与文件系统相关的系统调用，执行您想要的任何任务，并可能在之后调用“默认”系统调用。

然后，您可以使用 FUSE 文件系统挂载某些目录，并且在大多数情况下，似乎不需要覆盖默认的系统调用行为。

Answer 3

您可以使用 inotify 观看取消链接事件，尽管这对于您的目的来说可能发生得太晚了（我不知道，因为我不知道你的目的，你应该尝试找出答案）。基于 LSM 的内核替代方案（我指的是 SMACK、TOMOYO 和朋友）实际上适用于强制访问控制，因此可能不适合您的目的。

Answer 4

如果您只想处理删除，则可以保留正在监视的文件的硬链接（通过 link 创建）的“影子”目录（通过 inotify，如 Graham 的建议）李）。

如果原始文件现在已取消链接，您仍然可以根据需要处理影子文件，而无需使用内核模块。