linux fanotify和inotify

最新推荐文章于 2025-05-08 13:58:51 发布
原创 最新推荐文章于 2025-05-08 13:58:51 发布 · 3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Linux系统中fanotify和inotify的区别与应用。fanotify有directed, per-mount和global三种模式,其中per-mount模式监控整个挂载点。相比inotify,fanotify能监控的事件类型较少,但可以返回进程PID,并需要root权限。" 4547813,617950,中小型企业局域网设计与成本预算,"['网络', '服务器', 'CISCO', '路由器', '局域网设计']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

工作中用到fanotify和inotify,记录下
Fanotify 有三个个基本的模式:directed,per-mount 和 global。其中,directed 模式和 inotify 类似,直接工作在被监控的对象的 inode 上,一次只可以监控一个对象。因此需要监控大量目标时也很麻烦。Global 模式则监控整个文件系统,任何变化都会通知 Listener。Per-mount 模式工作在 mount 点上,比如磁盘 /dev/sda2 的 mount 点在 /home,则 /home 目录下的所有文件系统变化都可以被监控,这其实可以被看作另外一种 Global 模式。
fanotify能监控的类型比inotify少
fanotify可以返回进程pid
fanotify需要root权限

fanotify

#define _GNU_SOURCE    
#include <errno.h>
#include <fcntl.h>
#include <limits.h>
#include <poll.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/fanotify.h>
#include <unistd.h>
#include <time.h>
#include <string>
#include <set>
using namespace std;

set<string> sset;


static void handle_events(int fd)
{
    const struct fanotify_event_metadata *metadata;
    struct fanotify_event_metadata buf[200];
    ssize_t len;
    char path[PATH_MAX];
    ssize_t path_len;
    char procfd_path[PATH_MAX];
    struct fanotify_response response;


    for(;;) 
    {

        len = read(fd, (void *) &buf, sizeof(buf));
        if (len == -1 && errno != EAGAIN) 
        {
            perror("read");
            exit(EXIT_FAILURE);
        }
        
        if (len <= 0)
            continue;
        
        metadata = buf;


        while (FAN_EVENT_OK(metadata, len)) 
        {
            if (metadata->vers != FANOTIFY_METADATA_VERSION) 
            {
                fprintf(stderr,"Mismatch of fanotify metadata version.\n");
                continue;
            }

            //printf ("receive event time %llu \n",time(NULL));
            if (metadata->fd >= 0) 
            {
                if ((metadata->mask & FAN_MODIFY) || (metadata->mask & FAN_OPEN))
                {
                    
                    snprintf(procfd_path, sizeof(procfd_path),
                            "/proc/self/fd/%d", metadata->fd);
                    path_len = readlink(procfd_path, path,
                                        sizeof(path) - 1);
                    if (path_len == -1) {
                        perror("readlink");
                        exit(EXIT_FAILURE);
                    }

                    path[path_len] = '\0';
                    string Path = path;
                    if (sset.find(Path) != sset.end())
                    {
                        printf("receive: %d\n", metadata->mask);
                        if (metadata->mask & FAN_MODIFY)
                            printf("FAN_MODIFY: \n");
                        if (metadata->mask & FAN_OPEN)
                            printf("FAN_open: \n");
                        printf("PID  %d op File %s\n",metadata->pid , path);
                    }
                    
                }
                
                close(metadata->fd); 
            }

            /* Advance to next event */

            metadata = FAN_EVENT_NEXT(metadata, len);
        }
    }
}

int main(int argc, char *argv[])
{
    char buf;
    int fd, poll_num;
    nfds_t nfds;
    struct pollfd fds[2];
    sset.insert(string("/home/zxdbtest/data/data/py/py.ibd"));
    /* Check mount point is supplied */

    if (argc < 2) 
    {
        exit(EXIT_FAILURE);
    }

    printf("FAN_MODIFY: %d\n", FAN_MODIFY);
    printf("FAN_open: %d\n", FAN_OPEN);
    //FAN_NONBLOCK 是非阻塞  read时不阻塞,导致cpu占用过高,不建议设置
    fd = fanotify_init(FAN_CLOEXEC | FAN_CLASS_CONTENT |FAN_NONBLOCK,
                        O_RDONLY | O_LARGEFILE);
    if (fd == -1) 
    {
        perror("fanotify_init");
        exit(EXIT_FAILURE);
    }
    for (int i=1;i<argc;i++)
    {
        printf("add watch : %s\n",argv[i] );
        //FAN_MARK_MOUNT 是监控挂载点
        if (fanotify_mark(fd, FAN_MARK_ADD|FAN_MARK_MOUNT  ,FAN_MODIFY | FAN_OPEN, -1,argv[i]) == -1) 
        {
            perror("fanotify_mark");
            exit(EXIT_FAILURE);
        }
    }
    handle_events(fd);
    printf("Listening for events stopped.\n");
    exit(EXIT_SUCCESS);
}

inotify

#include<stdio.h>
#include<assert.h>
#include<unistd.h>
#include<stdlib.h>
#include<errno.h>
#include<string.h>
#include<sys/types.h>
#include<sys/inotify.h>
#include<limits.h>
#include<fcntl.h>
#include<sys/ioctl.h>
#include<sys/time.h>

#define BUF_LEN 1000


/*
struct inotify_event {
   int      wd;       // Watch descriptor 
   uint32_t mask;     // Mask of events 
   uint32_t cookie;   // Unique cookie associating related  events (for rename(2))
   uint32_t len;      // Size of name field 
   char     name[];   // Optional null-terminated name 
};
*/

//若不将inotify的文件符加入到 select中  删除自身(直接监控file)不会被捕捉到
int event_check (int fd)
{
    fd_set rfds;
    FD_ZERO (&rfds);
    FD_SET (fd, &rfds);
    //timeout=NULL(阻塞:select将一直被阻塞,直到某个文件描述符上发生了事件)
    return select (fd+1, &rfds, NULL, NULL, NULL);//第一个参数是加入的fd最大值加一
}

void handleInotifyEvents(int inotifyFd, fd_set &inputs)
{
    struct inotify_event *event;
    char *p;
    char buf[BUF_LEN];
    ssize_t numRead;
    fd_set testfds;
    for(;;)  
    {
        if (event_check (inotifyFd) > 0)
        {
            numRead = read(inotifyFd,buf,BUF_LEN);
            if(numRead == -1)
            {
                printf("read error\n");
            }

            printf("read %ld bytes from inotify fd\n",(long)numRead);
            for(p = buf; p < buf+numRead;)
            {
                event = (struct inotify_event *)p;
                if(event ->mask & IN_DELETE_SELF)  //判断是那个文件进行了更改
                {
                    printf(" %s IN_DELETE_SELF\n",event->name);//这里name一般为空,所以使用时一般要提前保存好
                }
                p += sizeof(struct inotify_event)+ event->len;
            }
        }
    } 
}

int main(int argc,char **argv)
{
    int inotifyFd;  
    fd_set inputs;
    
    if(argc < 2)
    {
        printf("error\n");
    }

    inotifyFd = inotify_init(); //系统调用可创建一新的inotify实例  初始化实例
    if(inotifyFd == -1)
    {
        printf("init error\n");
        return 0;
    }
    for (int i=1;i<argc;i++)
    {
        printf("add watch : %s\n",argv[i] );
        int wd = inotify_add_watch(inotifyFd,argv[i],IN_DELETE_SELF);  //系统调用inotify_add_watch()可以追加新的监控项
        if(wd < 0)
        {
            printf("add watch error \n");
        }
        printf("watching %s using wd =  %d\n", argv[i], wd);
    }
    
    handleInotifyEvents(inotifyFd, inputs);
    close(inotifyFd);
    return 0;
}
inotify vs fanotify
SHELLCODE_8BIT的博客
11-16 953
下列文章说道,inotify不可以监控文件是哪个进程修改,而fanortify可以,并且inotify也不能监控/proc,因为inotify监控inode。
fsnotify用例
SHELLCODE_8BIT的博客
02-01 172
jrelo/fs_monitoring: dnotify,inotify, and fanotify example code from http://www.lanedo.com/filesystem-monitoring-linux-kernel/ (github.com)
fanotify 监控文件系统
mmdev
04-14 1391
简介:Fanotify 是一个 notifier,即一种对文件系统变化产生通知的机制,是替代 inotify 的下一代文件系统通知机制。本文将探讨 fanotify 的特性基本的使用,希望能为那些准备理解这个新的文件系统通知机制的读者提供一些参考。 引子 Fanotify (fscking all notifiction and file access system) 是一个 notifie...
Linux操作系统中的事件通知机制
最新发布
Android系统工程师--小馬佩德罗
05-08 400
Linux 提供了多种通知机制,用于进程间通信事件通知,这些通知机制使得 Linux 应用程序能够高效地响应各种系统事件,而无需轮询。
Linux系统应用 - Fanotify
dxf1971738522的博客
03-04 842
基于LinuxFanotify框架实现文件系统变动通知
linux fanotify
faxiang1230的专栏
01-19 1709
IT安全行业比较注重用户行为监控,在linux上如何做行为监控呢?首先监控可以分作两大类:本地行为网络行为,大致是如何做的呢?在linux系统中分为用户空间内核空间,又有进程来提供隔离,通常是不能实时监控到其他用户进程的行为的.不过linux通过/proc/sys提供了很多有用的接口,工具通过这些接口提取信息使可读性更好,例如top,netstat等,其中有一些接口能够被用来进行monito...
fanotify:一个简单的fanotify示例,用于监视文件系统上的事件
05-08
Fanotify-监视文件系统事件 系统的一个简单C示例要求linux。 建造 make 跑步 要监视根文件系统运行中的所有关闭事件: sudo ./fanotify CLOSE MOUNT /
hook 监控文件 c++_Linux文件事件监控之Fanotify [一]
weixin_39605326的博客
11-22 580
从监听到监控Linux的文件事件监听的原理并不复杂,简单说就是当一个应用层的进程操作一个目录或文件时,会触发system call,此时内核的notification子系统可以守在那里,把该进程对文件的操作上报给应用层的监听进程(称为listerner)。在这个领域,自2001年的2.4版本就引入的dnotify可以说是先驱,然而,它的缺陷实在太多了。正如其名字传达的,只能监控directory,...
【安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 3064
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
fanotify来实现Linux下的进程隐藏
pein66的博客
03-28 1501
Index1.原理2.目前比较常见的Linux进程隐藏方法1.1.注入preload挂钩readdir1.2.直接替换ls/ps等系统程序3.fanotify是什么?4.使用fanotify进行进程隐藏 1.原理 在Linux下,一切皆文件。所有的进程信息,都存放在/proc/目录下,每一个pid一个目录。一般来说,遍历检查进程的方法,就是遍历检查/proc目录,检查所有名称是数字的子目录,检查其...
【安全】使用Fanotify拦截文件操作
追寻梦想的青春
06-21 1045
前文已经说过,Fanotify相比Inotify,比较大的优势是获取的数据多以及Fanotify的阻断能力。阻断能力,顾名思义,就是在用户操作文件时,如果判断出文件是有问题的,可以不让用户操作。
Linux fanotify 解析
pwl999的博客
06-16 7649
Linux fanotify 解析1. 基本介绍1.1 基本原理1.2 fanotify基本功能2. 用户态实现2.1 实例代码2.2 API介绍3. 内核实现3.1 配置fanotify3.1.1 fanotify_init()3.1.2 fanotify_mark()3.2 触发fanotify3.3 响应fanotify3.3.1 fanotify_read()3.3.2 fanotify_write()参考文档: 1. 基本介绍 Fanotify (Filesystem wide access no
fanotify监控文件使用案例及输出操作的进程名PID
elimuzi的博客
08-19 1736
#define _GNU_SOURCE #include <errno.h> #include <fcntl.h> #include <limits.h> #include <stdio.h> #include <stdlib.h> #include <sys/types.h> #include <sys/fanotify.h> #include <sys/stat.h> #include <unistd.
LWN:分层存储管理,fanotify, FUSE 等等!
Linux News搬运工
07-25 2760
关注了就能看到更多这么棒的文章哦~Hierarchical storage management, fanotify, FUSE, and moreBy Jake EdgeJuly 16, 2024LSFMM+BPFGemini-1.5-flash translationhttps://lwn.net/Articles/981392/Amir Goldstein 在 2024 年的Linux 存...
linux有哪些task_Linux文件事件监控之Fanotify [二]
weixin_31887861的博客
12-27 301
Linux文件事件监控之Fanotify [一] 监控流程上文展示了从sys_open()到fsnotify()之间的call trace,接下来继续追踪在fsnotify()之后的代码路径:根据ftrace的打印结果,fanotify注册的"handle_event"函数指针会被调用,进而就是通过fanotify_alloc_event(),给要向listerner上报的内容分配内存,并根据l...
fanotify实现原理源码分析
xsinlink的博客
11-06 737
fanotify主要使用。
epoll+fanotify实现监控目录以及子目录
changke的博客
01-17 1113
只说下坑点:调用fanotify_mark的时候,传文件的绝对路径,这时候使其忽略AT_FDCWD标志设置。 一些功能描述在之前的博客中已经总结! 源代码,欢迎Star或Fork ...
文件监控机制fanotify学习总结
changke的博客
01-16 2843
fanotifyLinux平台上新出现的一种文件监控技术,常被用作杀毒软件或者病毒程序恶意访问控制。之前有听过或使用过inotify的,都知道inotify是相比于fanotify更早的文件操作事件监控技术,fanotify是新出来的,实现的功能不比inotify多,但是他提供的对于监控文件的事件比较重要的功能权限检查访问控制而inotify没有提供,所以这一点优势是其能存在的原因。 fani...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值