1
的套接字事件通知我需要找到本地TCP的連接/ Unix域的連接啓動儘可能以最有效的方式連接的客戶端程序。獲取內核
目前,我有這個在驅動程序中實現一個解決方案,即攔截都接受並連接系統調用,它們匹配,找出客戶端進程。
現在我試圖達到同樣的沒有我自己的驅動程序。該攔截系統調用適當和解決客戶端以類似的方式
- Linux審覈系統插件:
不同的方法我試過了。這種方法有3個問題:
- 每個攔截事件從內核流向auditd進程到其他一些中間進程,而不是我的插件。
- 審計規則適用於所有的插件和審計日誌 - 我無法定義我自己的一套過濾規則。 - 這可能會導致使用審計系統的機器出現極度低效。
- 它要求將審計安裝在機器上(對於許多Linux發行版,這不是默認設置)。
- 模仿的netstat/lsof的 - 爲了找到保存的連接,他們遍歷整個procfs的安裝過程 - 這是有道理的,因爲在連接建立,每個連接可以屬於多個進程。 如果我想爲每個連接建立都這樣做,這種方法是非常不有效的。
- 我想嘗試LSM(Linux安全模塊)解決方案之一 - 但我目前不熟悉它 - 是他們可以通過對正在運行的應用內核事件「決定」的一個LSM?
我會很樂意聽到建議和其他意見,可能會導致我爲我的原始目標的合理解決方案。
的netfilter,iptables的/ nftables更多細節。 –
我已經有一個機制來獲取新建立連接的通知。我缺乏的是他們的發起者,根據[鏈接](http://stackoverflow.com/a/23532240/2835437),我仍然需要遍歷整個procfs安裝來獲取它。 –
我不確定你的意思。查看SYN數據包的源地址,它是發起者。 –