1. casa
  2. Domanda e risposta
  3. Linux - fanotify, ma per exec()?

Linux - fanotify, ma per exec()?

2014-05-14 6 views
5

C'è una struttura come fanotify, ma per operazioni exec()? Qualcosa come kauth in MacOS, ma in terra di utenti.Linux - fanotify, ma per exec()?

fanotify sembra solo notificare (e consentire/negare) file aprire/chiudere/leggere/scrivere.

Ho visto il codice che può essere notificato su fork ed exec da other means (anche here), ma non c'è modo di consentire o negare un exec. Inoltre, sembra che ci siano degli svantaggi in questo approccio, perché non tutti i kernel sono compilati con il connettore netlink/proc e possono essere sopraffatti dagli eventi.

fonte

2014-05-14 craig65535

+0

In che modo esattamente funzionerebbe nell'Area Utente? A me sembra che questo possa essere implementato solo nel kernel. –

+0

Mi chiedevo se ci fosse un'interfaccia userland che potrei usare per alcune funzionalità preesistenti nel kernel, come il codice netlink nel link sopra. – craig65535

risposta

2

Forse stai cercando SELinux, un modulo del kernel Linux che fornisce l'imposizione di politiche di sicurezza a grana fine, come chi o cosa ottiene per eseguire un determinato file.

fonte

2014-05-21 06:42:23 Kaz

+0

Ha una API di qualche tipo, o è solo un'installazione tramite i file di configurazione? – craig65535

+1

Sì: http://selinuxproject.org/page/LibselinuxAPISummary – Kaz

+0

Grazie per il collegamento. Sto avendo un po 'di problemi a capire cosa è possibile con questa API, però. Sarebbe possibile per me scrivere un modulo che verrebbe notificato di un exec e quindi restituire una decisione di accesso a selinux? Oppure l'API è più utile alla lettura/creazione di una configurazione statica? Esempi che ho visto usando libselinux sono progetti come SE-PostgreSQL e dalla mia lettura lo usano per conformarsi al controllo di accesso già impostato in selinux. – craig65535

 Problemi correlati

  • Nessun problema correlato^_^