又遇到问题了，拦截sys_creat，为什么拦不到？创建文件的系统调用难道不是creat吗?

caravsapm70

如果在testfile文件夹下打开终端，输入touch thefile，文件依然创建，dmesg可以看到filename打出来的是全路径。也就是说我虽然是touch thefile但是filename这个参数的值应该是全路径没错。
zonelight 发表于 2010-07-22 14:54

我的印象里，应用层是不会自动补全路径的，y因为对于内核来说，filename是否全路径并不影响文件名的查找效率。所以，我很奇怪filename为什么会是全路径。

1. new_open(char*filename..){
   
2.    if(!strcmp(current->comm,"touch")){
   
3.          printk("[%s]\n",filename);
   
4.     }
   
5.     return old_open(filename,...);
   
6. }
   
7.    

复制代码

看看

caravsapm70

我在2.6.31的内核里面，自己改了内核，export了register_security()系列函数，并加入了unregister_security函数。反正，用lsm，必须重新编译内核，因为redhat内核里面，lsm默认让selinux和capability给占了，必须重新编译把capability给去掉，然后把apparmor里面用的钩子注册到自己编写的结构体里面。

caravsapm70

图形界面的那些东西，很恶心，相信我，你别搞他了，没搞明白可能你就挂了。幸亏我就要离职了，再也不用做这些东西了。如果这个是你们公司产品的话，那么你们公司应该是做安全的。2.6.34？这个不像是服务器的内核，倒像是桌面版。难不成你们公司的产品是面向个人用户的？

caravsapm70

截获系统调用并不安全，你可以在系统高负载的情况下，比如cp大量文件（上万起），频繁进行系统调用的情况下，截获系统调用试试，肯定会死机的。

caravsapm70

同情你，因为我也是一个人弄的。哈哈，看到有人和我一样，心里就很高兴。

caravsapm70

我没有接触到市场上相应的产品，所以无法给你答案。内核级别的文件过滤这一块，windows的很多公司做，linux的很少，aix和solaris据我所知就我们公司有，当然，我是井底之蛙，这些都是从客户那里了解到的。
如果要用lsm的话，我可以给你些参考。
我做的产品是以服务器为主，redhat as4，redhatas5，susu9，suse10，其中suse是不用改内核的，因为那上面的capability是以模块的形式加载的，卸掉就可以了。AS4和AS5是必须重新编译的内核的。
但是，编译内核有个问题，貌似客户那边买操作系统的话，保修条例里面是不能自己改内核的。所以，一定不能让厂商看出来内核是自己编译的。
lsm很强大的，可以实现复杂的业务逻辑。截获系统调用的话，就只能做一下过滤路径了。

caravsapm70

我又找到了一个相似点，我的boss也是搞win内核出身的，非常nb。