Re: Zugriff auf Dateien/V erzeichnisse überwachen?
Moin, * Wolf Wiegand [EMAIL PROTECTED] [051022 00:34]: [...] Prozesse werden innerhalb des Kernels durch task_struct-Variablen repräsentiert (task_struct ist in include/linux/sched.h definiert). In diesen Variablen sind alle Informationen zu einem Prozess zu finden (Zustand, offene Dateien, pid, etc.). current liefert bzw. steht für die task_struct-Struktur des aktuell laufenden Prozesses (hier: für den Prozess, der unlink aufgerufen hat). Ah, okay. Prima, dann mache ich mich mal an den guten Kernel ran... :) Vielen Dank und Gruß, Steph. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Zugriff auf Dateien/V erzeichnisse überwachen?
Hallo Wolf,
* Wolf Wiegand [EMAIL PROTECTED] [051021 16:30]:
Ich hatte gerade Lust dazu, und außerdem muss sich der Kauf des
Linux-Kernel-Handbuchs ja gelohnt haben: Der angängte Patch für den
Kernel sorgt dafür, dass das Löschen jeder Datei per syslog gemeldet
wird:
oho, vielen Dank für den Patch! Ein kleines Problem gibt es damit
allerdings: Ich habe es hier noch mit einem 2.4er Kernel zu tun.
Die Funktion vfs_unlink sieht allerdings durchaus so aus, als ob Dein
Patch noch (bzw. schon) passen könnte:
int vfs_unlink(struct inode *dir, struct dentry *dentry)
{
int error;
down(dir-i_zombie);
error = may_delete(dir, dentry, 0);
if (!error) {
error = -EPERM;
if (dir-i_op dir-i_op-unlink) {
DQUOT_INIT(dir);
if (d_mountpoint(dentry))
error = -EBUSY;
else {
lock_kernel();
error = dir-i_op-unlink(dir, dentry);
unlock_kernel();
if (!error)
d_delete(dentry);
}
}
}
up(dir-i_zombie);
if (!error)
inode_dir_notify(dir, DN_DELETE);
return error;
}
Was denkst Du?
+ if (current) {
Was ist dieses current für ein Teil? In den 2.4er Quellen wird das auch
gelegentlich genutzt, aber ich habe von Kernel-Programmierung (bisher)
keine Ahnung. Bekommt man darüber auch die pid raus?
Danke für die Kanone und Gruß,
Steph.
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Zugriff auf Dateien/V erzeichnisse überwachen?
Moin, * Matthias Haegele [EMAIL PROTECTED] [051020 14:19]: lsof ? Ich fürchte, das hilft mir nicht richtig weiter. Wenn ich nichts übersehen habe, kann man damit ja vor allem offene Dateien finden und untersuchen. Man erhält gewissermassen eine momentanes Abbild der Landschaft der offenen files. Um damit zum Ziel zu kommen, müsste ich also beständig mit lsof pollen und schauen, ob die fragliche Datei mit Glück gerade mal dabei ist. Mein Problem ist, dass eine Datei bzw. ein Verzeichnis von einem unbekannten Prozess zu einem nicht vorhersehbaren Zeitpunkt gelöscht wird, was ich nicht gut finde. Ich möchte daher herausfinden, welcher Prozess dafür verantwortlich ist, damit ich den Fehler eingrenzen kann. Ein entsprechendes Tool müsste sich meiner - vermutlich naiven - Vorstellung nach in die Kernelfunktion zum Löschen von Dateien einklinken und dann die Pfade ausspucken, die jeweils zum Löschen übergeben werden. Wenn ich das so noch einmal durchlese, denke ich ja fast, dass ich eher im Bereich der Kernelpatches suchen müsste oder so etwas ähnliches wie ein Rootkit brauche, die ja vergleichbare Methoden nutzen, um sich vor neugierigen Blicken zu verbergen... Gruß, Steph. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Zugriff auf Dateien/V erzeichnisse überwachen?
Hi Stefan, * Weinzierl Stefan [EMAIL PROTECTED] [051020 17:21]: Folgendes PERL-Modul: http://search.cpan.org/~jglick/SGI-FAM-1.002/ In Kombination mit lsof Ah, prima, FAM ist also im Prinzip die Lösung für mein Problem. Vielen Dank für den Tipp. Dann werde ich mich damit mal an die Überwachung machen... :) Gruß, Steph. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
