Man page - fanotify(7)

Packages contains this manual

Package: manpages
apt-get install manpages

Manuals in package:

Documentations in package:

manpages

Available languages:

en fr ja

Manual

FANOTIFY

名前
説明
fanotify_init(), fanotify_mark() と通知グループ
イベントキュー
fanotify イベントの読み出し
fanotify ファイルディスクリプターのイベントを監視する
アクセス許可イベントの取り扱い
fanotify ファイルディスクリプターのクローズ
/proc/[pid]/fdinfo
エラー
バージョン
準拠
注意
制限と警告
バグ
例
Example program: fanotify_example.c
プログラムのソース : fanotify_example.c
Example program: fanotify_fid.c
プログラムのソース : fanotify_fid.c
関連項目
この文書について

名前

fanotify - ファイルシステムイベントを監視する

説明

The fanotify API provides notification and interception of filesystem events. Use cases include virus scanning and hierarchical storage management. In the original fanotify API, only a limited set of events was supported. In particular, there was no support for create, delete, and move events. The support for those events was added in Linux 5.1. (See inotify (7) for details of an API that did notify those events pre Linux 5.1.)

inotify (7) API と比較して追加されている機能としては、マウントされたファイルシステムの全オブジェクトを監視する機能、アクセス許可の判定を行う機能、他のアプリケーションによるアクセスの前にファイルを読み出したり変更したりする機能がある。

この API では以下のシステムコールを使用する : fanotify_init (2), fanotify_mark (2), read (2), write (2), close (2)。

fanotify_init(), fanotify_mark() と通知グループ

fanotify_init (2) システムコールは fanotify 通知グループを作成、初期化し、この通知グループを参照するファイルディスクリプターを返す。

fanotify 通知グループはカーネル内部のオブジェクトで、イベントが作成されるファイル、ディレクトリ、ファイルシステム、マウントポイントのリストを保持する。

fanotify 通知グループの各エントリーには 2 つのビットマスクがある。 mark マスクと ignore マスクである。 mark マスクはどのファイル操作についてイベントを作成するかを定義する。 ignore マスクはどの操作についてイベントを作成しないかを定義する。これらの 2 種類のマスクがあることで、ファイルシステム、マウントポイント、ディレクトリに対してイベントの受信を mark しておきつつ、同時にそのマウントポイントやディレクトリ配下の特定のオブジェクトに対するイベントを無視する、といったことができる。

fanotify_mark (2) システムコールは、ファイル、ディレクトリ、ファイルシステム、マウントポイントを通知グループに追加し、どのイベントを報告 (もしくは無視 ) するかを指定する。また、このようなエントリーの削除、変更も行う。

ignore マスクの考えられる使用方法はファイルキャッシュに対してである。ファイルキャッシュに関して興味のあるイベントは、ファイルの変更とファイルのクローズである。それゆえ、キャッシュされたディレクトリやマウントポイントは、これらのイベントを受信するようにマークされる。ファイルが変更されたという最初のイベントを受信した後は、対応するキャッシュエントリーは無効化される。そのファイルがクローズされるまでは、このファイルに対する変更イベントは興味のない情報となる。したがって、変更イベントを ignore マスクに追加することができる。クローズイベントを受信すると、変更イベントを ignore イベントから削除し、ファイルキャッシュエントリーを更新することができる。

The entries in the fanotify notification groups refer to files and directories via their inode number and to mounts via their mount ID. If files or directories are renamed or moved within the same mount, the respective entries survive. If files or directories are deleted or moved to another mount or if filesystems or mounts are unmounted, the corresponding entries are deleted.

イベントキュー

通知グループにより監視されているファイルシステムオブジェクトでイベントが発生すると、 fanotify システムはイベントを生成し、そのイベントはキューにまとめられる。これらのイベントは、 fanotify_init (2) が返した fanotify ファイルディスクリプターから ( read (2) などを使って ) 読み出すことができる。

Two types of events are generated: notification events and permission events. Notification events are merely informative and require no action to be taken by the receiving application with one exception: if a valid file descriptor is provided within a generic event, the file descriptor must be closed. Permission events are requests to the receiving application to decide whether permission for a file access shall be granted. For these events, the recipient must write a response which decides whether access is granted or not.

イベントは、読み出されると、 fanotify グループのイベントキューから削除される。読み出されたアクセス許可イベントは、 fanotify ファイルディスクリプターにアクセス許可の判定が書き込まれるか、 fanotify ファイルディスクリプターがクローズされるまで、 fanotify グループの内部のリストに保持される。

fanotify イベントの読み出し

fanotify_init (2) が返したファイルディスクリプターに対する read (2) を呼び出しは、 ( fanotify_init (2) の呼び出しでフラグ FAN_NONBLOCK を指定しなかった場合 ) ファイルイベントが起こるか、呼び出しがシグナルによって割り込まれる ( signal (7) 参照 ) まで停止する。

The use of one of the flags FAN_REPORT_FID , FAN_REPORT_DIR_FID in fanotify_init (2) influences what data structures are returned to the event listener for each event. Events reported to a group initialized with one of these flags will use file handles to identify filesystem objects instead of file descriptors.
read (2) が成功すると、

読み出しバッファーには以下の構造体が 1 つ以上格納される。

struct fanotify_event_metadata {
__u32 event_len;
__u8 vers;
__u8 reserved;
__u16 metadata_len;
__aligned_u64 mask;
__s32 fd;
__s32 pid;
};

In case of an fanotify group that identifies filesystem objects by file handles, you should also expect to receive one or more additional information records of the structure detailed below following the generic fanotify_event_metadata structure within the read buffer:

struct fanotify_event_info_header {
__u8 info_type;
__u8 pad;
__u16 len;
};

struct fanotify_event_info_fid {
struct fanotify_event_info_header hdr;
__kernel_fsid_t fsid;
unsigned char file_handle[0];
};

性能上の理由から、複数のイベントを一度の read (2) で取得できるように大きめのバッファーサイズ (例えば 4096 バイト ) を使用することを推奨する。

read (2) の返り値はバッファーに格納されたバイト数である。エラーの場合は -1 が返される (ただし、バグも参照 )。

fanotify_event_metadata 構造体のフィールドは以下のとおりである。
event_len

This is the length of the data for the current event and the offset to the next event in the buffer. Unless the group identifies filesystem objects by file handles, the value of event_len is always FAN_EVENT_METADATA_LEN . For a group that identifies filesystem objects by file handles, event_len also includes the variable length file identifier records.

vers

このフィールドには構造体のバージョン番号が入る。実行時に返された構造体がコンパイル時の構造体と一致しているかを検査するには、この値を FANOTIFY_METADATA_VERSION を比較すること。一致しない場合、アプリケーションはその fanotify ファイルディスクリプターを使用するのを諦めるべきである。

reserved

このフィールドは使用されない。

metadata_len

この構造体の長さである。このフィールドは、イベント種別単位のオプションヘッダーの実装を扱うために導入された。現在の実装ではこのようなオプションヘッダーは存在しない。

	mask		イベントを示すビットマスクである (下記参照 )
	fd		This is an open file descriptor for the object being accessed, or FAN_NOFD if a queue overflow occurred. With an fanotify group that identifies filesystem objects by file handles, applications should expect this value to be set to FAN_NOFD for each event that is received. The file descriptor can be used to access the contents of the monitored file or directory. The reading application is responsible for closing this file descriptor.

fanotify_init (2) を呼び出す際、呼び出し元はこのファイルディスクリプターに対応するオープンファイル記述にセットされた様々なファイル状態フラグを ( event_f_flags 引数を使って ) 指定することができる。さらに、 (カーネル内部の ) FMODE_NONOTIFY ファイル状態フラグがオープンファイル記述にセットされる。このフラグは fanotify イベントの生成を抑制する。したがって、 fanotify イベントの受信者がこのファイルディスクリプターを使って通知されたファイルやディレクトリにアクセスした際に、これ以上イベントが作成されなくなる。

pid

If flag FAN_REPORT_TID was set in fanotify_init (2), this is the TID of the thread that caused the event. Otherwise, this the PID of the process that caused the event.

fanotify イベントを監視しているプログラムは、この PID を getpid (2) が返す PID と比較することで、イベントが監視しているプログラム自身から発生したかどうか、別のプロセスによるファイルアクセスにより発生したか、を判定できる。

mask のビットマスクは、 1 つのファイルシステムオブジェクトに対してどのイベントが発生したかを示す。監視対象のファイルシステムオブジェクトに複数のイベントが発生した場合は、このマスクに複数のビットがセットされることがある。特に、同じファイルシステムオブジェクトに対する連続するイベントが同じプロセスから生成された場合には、一つのイベントにまとめられることがある。例外として、 2 つのアクセス許可イベントが一つのキューエントリーにまとめられることは決してない。

mask でセットされている可能性のあるビットは以下のとおりである。
FAN_ACCESS

ファイルやディレクトリがアクセスされた (読み出しが行われた ) (ただし、「バグ」の節も参照 )。

FAN_OPEN

ファイルやディレクトリがオープンされた。

FAN_OPEN_EXEC

A file was opened with the intent to be executed. See NOTES in fanotify_mark (2) for additional details.

FAN_ATTRIB

ファイルかディレクトリのメタデータが変更された。

FAN_CREATE

A child file or directory was created in a watched parent.

FAN_DELETE

A child file or directory was deleted in a watched parent.

FAN_DELETE_SELF

A watched file or directory was deleted.

FAN_MOVED_FROM

A file or directory has been moved from a watched parent directory.

FAN_MOVED_TO

A file or directory has been moved to a watched parent directory.

FAN_MOVE_SELF

監視対象のディレクトリやファイルが移動された。

FAN_MODIFY

ファイルが変更された。

FAN_CLOSE_WRITE

書き込み用 ( O_WRONLY か O_RDWR ) にオープンされたファイルがクローズされた。

FAN_CLOSE_NOWRITE

読み出し用 ( O_RDONLY ) にオープンされたファイルがクローズされた。

FAN_Q_OVERFLOW

イベントキューが 16384 エントリーの上限を超過した。この上限は fanotify_init (2) 呼び出し時に FAN_UNLIMITED_QUEUE フラグを指定することで上書きできる。

FAN_ACCESS_PERM

アプリケーションが例えば read (2) や readdir (2) などを使ってファイルやディレクトリを読み出そうとした。このイベントを読み出したプログラムは、そのファイルシステムオブジェクトへのアクセス許可を承認するかを判定し (下記で説明するとおり ) 応答を書き込まなければならない。

FAN_OPEN_PERM

アプリケーションがファイルやディレクトリをオープンしようとした。このイベントを読み出したプログラムは、そのファイルシステムオブジェクトのオープンを承認するかを判定し (下記で説明するとおり ) 応答を書き込まなければならない。

FAN_OPEN_EXEC_PERM

An application wants to open a file for execution. The reader must write a response that determines whether the permission to open the filesystem object for execution shall be granted. See NOTES in fanotify_mark (2) for additional details.

クローズイベントを確認するために以下のビットマスクを使うことができる。
FAN_CLOSE

ファイルがクローズされた。以下の同義語である。

FAN_CLOSE_WRITE | FAN_CLOSE_NOWRITE

移動イベントを確認するために以下のビットマスクを使うことができる。
FAN_MOVE

ファイルやディレクトリが移動された。以下の同義語である。

FAN_MOVED_FROM | FAN_MOVED_TO

The following bits may appear in mask only in conjunction with other event type bits:
FAN_ONDIR

The events described in the mask have occurred on a directory object. Reporting events on directories requires setting this flag in the mark mask. See fanotify_mark (2) for additional details. The FAN_ONDIR flag is reported in an event mask only if the fanotify group identifies filesystem objects by file handles.

fanotify_event_info_fid 構造体のフィールドは以下のとおりである。

	hdr		This is a structure of type fanotify_event_info_header . It is a generic header that contains information used to describe an additional information record attached to the event. For example, when an fanotify file descriptor is created using FAN_REPORT_FID , a single information record is expected to be attached to the event with info_type field value of FAN_EVENT_INFO_TYPE_FID . When an fanotify file descriptor is created using the combination of FAN_REPORT_FID and FAN_REPORT_DIR_FID , there may be two information records attached to the event: one with info_type field value of FAN_EVENT_INFO_TYPE_DFID , identifying a parent directory object, and one with info_type field value of FAN_EVENT_INFO_TYPE_FID , identifying a non-directory object. The fanotify_event_info_header contains a len field. The value of len is the size of the additional information record including the fanotify_event_info_header itself. The total size of all additional information records is not expected to be bigger than ( event_len - metadata_len ).
	fsid		This is a unique identifier of the filesystem containing the object associated with the event. It is a structure of type __kernel_fsid_t and contains the same value as f_fsid when calling statfs (2).

file_handle

This is a variable length structure of type struct file_handle. It is an opaque handle that corresponds to a specified object on a filesystem as returned by name_to_handle_at (2). It can be used to uniquely identify a file on a filesystem and can be passed as an argument to open_by_handle_at (2). Note that for the directory entry modification events FAN_CREATE , FAN_DELETE , and FAN_MOVE , the file_handle identifies the modified directory and not the created/deleted/moved child object. If the value of info_type field is FAN_EVENT_INFO_TYPE_DFID_NAME , the file handle is followed by a null terminated string that identifies the created/deleted/moved directory entry name. For other events such as FAN_OPEN , FAN_ATTRIB , FAN_DELETE_SELF , and FAN_MOVE_SELF , if the value of info_type field is FAN_EVENT_INFO_TYPE_FID , the file_handle identifies the object correlated to the event. If the value of info_type field is FAN_EVENT_INFO_TYPE_DFID , the file_handle identifies the directory object correlated to the event or the parent directory of a non-directory object correlated to the event. If the value of info_type field is FAN_EVENT_INFO_TYPE_DFID_NAME , the file_handle identifies the same directory object that would be reported with FAN_EVENT_INFO_TYPE_DFID and the file handle is followed by a null terminated string that identifies the name of a directory entry in that directory, or ’.’ to identify the directory object itself.

fanotify ファイルディスクリプターからの read (2) が返した fanotify イベントメタデータを含むバッファーに対して繰り返しを行うため、以下のマクロが提供されている。
FAN_EVENT_OK(meta, len)

このマクロは、バッファー meta の残りの長さ len を、メタデータ構造体の長さとバッファーの最初のメタデータ構造体の event_len フィールドと比較して検査する。

FAN_EVENT_NEXT(meta, len)

This macro uses the length indicated in the event_len field of the metadata structure pointed to by meta to calculate the address of the next metadata structure that follows meta . len is the number of bytes of metadata that currently remain in the buffer. The macro returns a pointer to the next metadata structure that follows meta , and reduces len by the number of bytes in the metadata structure that has been skipped over (i.e., it subtracts meta->event_len from len ).

また、以下のマクロも用意されている。
FAN_EVENT_METADATA_LEN

このマクロは fanotify_event_metadata 構造体の (バイト単位の ) サイズを返す。返される値はイベントメタデータの最小値である (現在のところ、これが唯一のサイズである )。

fanotify ファイルディスクリプターのイベントを監視する

fanotify イベントが発生すると、 epoll (7), poll (2), select (2) に fanotify ファイルディスクリプターが渡された場合には、そのファイルディスクリプターが読み出し可能であると通知される。

アクセス許可イベントの取り扱い

アクセス許可イベントでは、アプリケーションは以下の形式の構造体を fanotify ファイルディスクリプターに write (2) しなければならない。

struct fanotify_response {
__s32 fd;
__u32 response;
};

この構造体のフィールドは以下のとおりである。

このフィールドは fanotify_event_metadata 構造体で返されたファイルディスクリプターである。

response

このフィールドはアクセス許可を承認するかどうかを示す。値は、このファイル操作を許可する FAN_ALLOW か、このファイル操作を拒否する FAN_DENY のいずれかでなければならない。

アクセスを拒否した場合、アクセスを要求したアプリケーションは EPERM エラーを受け取ることになる。

fanotify ファイルディスクリプターのクローズ

fanotify 通知グループを参照するすべてのファイルディスクリプターがクローズされると、 fanotify グループは解放され、カーネルが再利用できるようにそのリソースは解放される。 close (2) の際に、処理中であったアクセス許可イベントには許可が設定される。

/proc/[pid]/fdinfo

ファイル /proc/[pid]/fdinfo/[fd] には、プロセス pid のファイルディスクリプター fd の fanotify マークに関する情報が格納される。詳細は proc (5) を参照。

エラー

通常の read (2) のエラーに加え、 fanotify ファイルディスクリプターから読み出しを行った際に以下のエラーが発生することがある。

	EINVAL		バッファーがイベントを保持するには小さすぎる。
	EMFILE		オープンしたファイル数のプロセス毎の上限に達した。 getrlimit (2) の RLIMIT_NOFILE の説明を参照。
	ENFILE		オープンされたファイルの総数のシステム全体の上限に達した。 proc (5) の /proc/sys/fs/file-max を参照。

ETXTBSY

fanotify_init (2) の呼び出し時に O_RDWR か O_WRONLY が event_f_flags 引数に指定されており、現在実行中の監視対象のファイルに対してイベントが発生した際に、このエラーが read (2) から返される。

通常の write (2) のエラーに加え、 fanotify ファイルディスクリプターに書き込みを行った際に以下のエラーが発生することがある。

	EINVAL		fanotify アクセス許可がカーネルの設定で有効になっていない。応答構造体の response 値が無効である。
	ENOENT		応答構造体のファイルディスクリプター fd が無効である。このエラーはアクセス許可イベントに対する応答がすでに書き込まれている際に発生する。

バージョン

fanotify API は Linux カーネルのバージョン 2.6.36 で導入され、バージョン 2.6.37 で有効にされた。 fdinfo のサポートはバージョン 3.8 で追加された。

準拠

fanotify API は Linux 独自のものである。

注意

fanotify API が利用できるのは、カーネルが CONFIG_FANOTIFY 設定オプションを有効にして作成されている場合だけである。また、 fanotify アクセス許可の処理が利用できるのは CONFIG_FANOTIFY_ACCESS_PERMISSIONS 設定オプションが有効になっている場合だけである。

制限と警告

fanotify が報告するのはユーザー空間プログラムがファイルシステム API 経由で行ったイベントだけである。その結果、 fanotify ではネットワークファイルシステム上で発生したリモートイベントは捕捉できない。

inotify API は mmap (2), msync (2), munmap (2) により起こったファイルのアクセスと変更を報告しない。

ディレクトリのイベントは、ディレクトリ自身がオープン、読み出し、クローズされた場合にしか作成されない。マークされたディレクトリでの子要素の追加、削除、変更では、監視対象のディレクトリ自身へのイベントは作成されない。

Fanotify monitoring of directories is not recursive: to monitor subdirectories under a directory, additional marks must be created. The FAN_CREATE event can be used for detecting when a subdirectory has been created under a marked directory. An additional mark must then be set on the newly created subdirectory. This approach is racy, because it can lose events that occurred inside the newly created subdirectory, before a mark is added on that subdirectory. Monitoring mounts offers the capability to monitor a whole directory tree in a race-free manner. Monitoring filesystems offers the capability to monitor changes made from any mount of a filesystem instance in a race-free manner.

ベントキューはオーバーフローすることがある。この場合、イベントは失われる。

バグ

Before Linux 3.19, fallocate (2) did not generate fanotify events. Since Linux 3.19, calls to fallocate (2) generate FAN_MODIFY events.

Linux 3.17 時点では、以下のバグが存在する。

	*		Linux では、ファイルシステムオブジェクトは複数のパスでアクセス可能である。例えば、ファイルシステムの一部は mount (8) の --bind オプションを使って再マウントされることがある。マークされたマウントの監視者は、同じマウントを使ったファイルオブジェクトについてのみイベント通知を受ける。それ以外のイベントは通知されない。
	*		イベントが生成された際に、そのファイルのファイルディスクリプターを渡す前に、イベントを受信するプロセスのユーザー ID がそのファイルに対する読み出し／書き込み許可があるかの確認は行われない。非特権ユーザーによって実行されたプログラムに CAP_SYS_ADMIN ケーパビリティーがセットされている場合には、このことはセキュリティーリスクとなる。
	*		read (2) の呼び出しが fanotify キューから複数のイベントを処理している際に、エラーが発生した場合、返り値はエラーが発生する前までにユーザー空間バッファーに正常にコピーされたイベントの合計長となる。返り値は -1 にならず、 errno もセットされない。したがって、読み出しを行うアプリケーションではエラーを検出する方法はない。

例

The two example programs below demonstrate the usage of the fanotify API.

Example program: fanotify_example.c

The first program is an example of fanotify being used with its event object information passed in the form of a file descriptor. The program marks the mount point passed as a command-line argument and waits for events of type FAN_OPEN_PERM and FAN_CLOSE_WRITE . When a permission event occurs, a FAN_ALLOW response is given.

The following shell session shows an example of running this program. This session involved editing the file /home/user/temp/notes . Before the file was opened, a FAN_OPEN_PERM event occurred. After the file was closed, a FAN_CLOSE_WRITE event occurred. Execution of the program ends when the user presses the ENTER key.

# ./fanotify_example /home
Press enter key to terminate.
Listening for events.
FAN_OPEN_PERM: File /home/user/temp/notes
FAN_CLOSE_WRITE: File /home/user/temp/notes

Listening for events stopped.

プログラムのソース : fanotify_example.c

#define _GNU_SOURCE /* O_LARGEFILE の定義を得るために必要 */
#include <errno.h>
#include <fcntl.h>
#include <limits.h>
#include <poll.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/fanotify.h>
#include <unistd.h>

/* ファイルディスクリプター 'fd' から読み出しできる全 fanotify イベントを読み出す */

static void
handle_events(int fd)
{
const struct fanotify_event_metadata *metadata;
struct fanotify_event_metadata buf[200];
ssize_t len;
char path[PATH_MAX];
ssize_t path_len;
char procfd_path[PATH_MAX];
struct fanotify_response response;

/* fanotify ファイルディスクリプターからイベントが読み出せる間はループする */

for (;;) {

/* イベントを読み出す */

len = read(fd, buf, sizeof(buf));
if (len == -1 && errno != EAGAIN) {
perror("read");
exit(EXIT_FAILURE);
}

/* 読み出せるデータの最後に達しているかチェックする */

if (len <= 0)
break;

/* バッファーの最初のイベントを参照する */

metadata = buf;

/* バッファー内の全イベントを処理する */

while (FAN_EVENT_OK(metadata, len)) {

/* 実行時とコンパイル時の構造体が一致するか確認する */

if (metadata->vers != FANOTIFY_METADATA_VERSION) {
fprintf(stderr,
"Mismatch of fanotify metadata version.\n");
exit(EXIT_FAILURE);
}

/* metadata->fd には、キューのオーバーフローを示す FAN_NOFD か、
ファイルディスクリプター (負でない整数 ) のいずれかが入っている。
ここではキューのオーバーフローは無視している。 */

if (metadata->fd >= 0) {

/* オープン許可イベントを処理する */

if (metadata->mask & FAN_OPEN_PERM) {
printf("FAN_OPEN_PERM: ");

/* ファイルのオープンを許可する */

response.fd = metadata->fd;
response.response = FAN_ALLOW;
write(fd, &response, sizeof(response));
}

/* 書き込み可能ファイルのクローズイベントを処理する */

if (metadata->mask & FAN_CLOSE_WRITE)
printf("FAN_CLOSE_WRITE: ");

/* アクセスされたファイルのパス名を取得し表示する */

snprintf(procfd_path, sizeof(procfd_path),
"/proc/self/fd/%d", metadata->fd);
path_len = readlink(procfd_path, path,
sizeof(path) - 1);
if (path_len == -1) {
perror("readlink");
exit(EXIT_FAILURE);
}

path[path_len] = '\0';
printf("File %s\n", path);

/* イベントのファイルディスクリプターをクローズする */

close(metadata->fd);
}

/* 次のイベントに進む */

metadata = FAN_EVENT_NEXT(metadata, len);
}
}
}

int
main(int argc, char *argv[])
{
char buf;
int fd, poll_num;
nfds_t nfds;
struct pollfd fds[2];

/* マウントポイントが指定されたか確認する */

if (argc != 2) {
fprintf(stderr, "Usage: %s MOUNT\n", argv[0]);
exit(EXIT_FAILURE);
}

printf("Press enter key to terminate.\n");

/* fanotify API にアクセスするためのファイルディスクリプターを作成する */

fd = fanotify_init(FAN_CLOEXEC | FAN_CLASS_CONTENT | FAN_NONBLOCK,
O_RDONLY | O_LARGEFILE);
if (fd == -1) {
perror("fanotify_init");
exit(EXIT_FAILURE);
}

/* 指定されたマウントに対して以下を監視するようにマークを付ける :
- ファイルのオープン前のアクセス許可イベント
- 書き込み可能なファイルディスクリプターのクローズ後の
通知イベント */

if (fanotify_mark(fd, FAN_MARK_ADD | FAN_MARK_MOUNT,
FAN_OPEN_PERM | FAN_CLOSE_WRITE, AT_FDCWD,
argv[1]) == -1) {
perror("fanotify_mark");
exit(EXIT_FAILURE);
}

/* ポーリングの準備 */

nfds = 2;

/* コンソールの入力 */

fds[0].fd = STDIN_FILENO;
fds[0].events = POLLIN;

/* fanotify の入力 */

fds[1].fd = fd;
fds[1].events = POLLIN;

/* イベントの発生を待つループ */

printf("Listening for events.\n");

while (1) {
poll_num = poll(fds, nfds, -1);
if (poll_num == -1) {
if (errno == EINTR) /* シグナルに割り込まれた場合 */
continue; /* poll() を再開する */

perror("poll"); /* 予期しないエラー */
exit(EXIT_FAILURE);
}

if (poll_num > 0) {
if (fds[0].revents & POLLIN) {

/* コンソールからの入力がある場合 : 空の標準入力であれば終了 */

while (read(STDIN_FILENO, &buf, 1) > 0 && buf != '\n')
continue;
break;
}

if (fds[1].revents & POLLIN) {

/* fanotify イベントがある場合 */

handle_events(fd);
}
}
}

printf("Listening for events stopped.\n");
exit(EXIT_SUCCESS);
}

Example program: fanotify_fid.c

The second program is an example of fanotify being used with a group that identifies objects by file handles. The program marks the filesystem object that is passed as a command-line argument and waits until an event of type FAN_CREATE has occurred. The event mask indicates which type of filesystem object—either a file or a directory—was created. Once all events have been read from the buffer and processed accordingly, the program simply terminates.

The following shell sessions show two different invocations of this program, with different actions performed on a watched object.

The first session shows a mark being placed on /home/user . This is followed by the creation of a regular file, /home/user/testfile.txt . This results in a FAN_CREATE event being generated and reported against the file’s parent watched directory object and with the created file name. Program execution ends once all events captured within the buffer have been processed.

# ./fanotify_fid /home/user
Listening for events.
FAN_CREATE (file created):
Directory /home/user has been modified.
Entry 'testfile.txt' is not a subdirectory.
All events processed successfully. Program exiting.

$ touch /home/user/testfile.txt # In another terminal

The second session shows a mark being placed on /home/user . This is followed by the creation of a directory, /home/user/testdir . This specific action results in a FAN_CREATE event being generated and is reported with the FAN_ONDIR flag set and with the created directory name.

# ./fanotify_fid /home/user
Listening for events.
FAN_CREATE | FAN_ONDIR (subdirectory created):
Directory /home/user has been modified.
Entry 'testdir' is a subdirectory.
All events processed successfully. Program exiting.

$ mkdir -p /home/user/testdir # In another terminal

プログラムのソース : fanotify_fid.c

#define _GNU_SOURCE
#include <errno.h>
#include <fcntl.h>
#include <limits.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/fanotify.h>
#include <unistd.h>

#define BUF_SIZE 256

int
main(int argc, char **argv)
{
int fd, ret, event_fd, mount_fd;
ssize_t len, path_len;
char path[PATH_MAX];
char procfd_path[PATH_MAX];
char events_buf[BUF_SIZE];
struct file_handle *file_handle;
struct fanotify_event_metadata *metadata;
struct fanotify_event_info_fid *fid;
const char *file_name;
struct stat sb;

if (argc != 2) {
fprintf(stderr, "Invalid number of command line arguments.\n");
exit(EXIT_FAILURE);
}

mount_fd = open(argv[1], O_DIRECTORY | O_RDONLY);
if (mount_fd == -1) {
perror(argv[1]);
exit(EXIT_FAILURE);
}

/* Create an fanotify file descriptor with FAN_REPORT_DFID_NAME as
a flag so that program can receive fid events with directory
entry name. */

fd = fanotify_init(FAN_CLASS_NOTIF | FAN_REPORT_DFID_NAME, 0);
if (fd == -1) {
perror("fanotify_init");
exit(EXIT_FAILURE);
}

/* Place a mark on the filesystem object supplied in argv[1]. */

ret = fanotify_mark(fd, FAN_MARK_ADD | FAN_MARK_ONLYDIR,
FAN_CREATE | FAN_ONDIR,
AT_FDCWD, argv[1]);
if (ret == -1) {
perror("fanotify_mark");
exit(EXIT_FAILURE);
}

printf("Listening for events.\n");

/* Read events from the event queue into a buffer */

len = read(fd, events_buf, sizeof(events_buf));
if (len == -1 && errno != EAGAIN) {
perror("read");
exit(EXIT_FAILURE);
}

/* バッファー内の全イベントを処理する */

for (metadata = (struct fanotify_event_metadata *) events_buf;
FAN_EVENT_OK(metadata, len);
metadata = FAN_EVENT_NEXT(metadata, len)) {
fid = (struct fanotify_event_info_fid *) (metadata + 1);
file_handle = (struct file_handle *) fid->handle;

/* Ensure that the event info is of the correct type */

if (fid->hdr.info_type == FAN_EVENT_INFO_TYPE_FID ||
fid->hdr.info_type == FAN_EVENT_INFO_TYPE_DFID) {
file_name = NULL;
} else if (fid->hdr.info_type == FAN_EVENT_INFO_TYPE_DFID_NAME) {
file_name = file_handle->f_handle +
file_handle->handle_bytes;
} else {
fprintf(stderr, "Received unexpected event info type.\n");
exit(EXIT_FAILURE);
}

if (metadata->mask == FAN_CREATE)
printf("FAN_CREATE (file created):\n");

if (metadata->mask == (FAN_CREATE | FAN_ONDIR))
printf("FAN_CREATE | FAN_ONDIR (subdirectory created):\n");

	/* metadata->fd is set to FAN_NOFD when the group identifies
	objects by file handles. To obtain a file descriptor for
	the file object corresponding to an event you can use the
	struct file_handle that's provided within the
	fanotify_event_info_fid in conjunction with the
	open_by_handle_at(2) system call. A check for ESTALE is
	done to accommodate for the situation where the file handle
	for the object was deleted prior to this system call. */

event_fd = open_by_handle_at(mount_fd, file_handle, O_RDONLY);
if (event_fd == -1) {
if (errno == ESTALE) {
printf("File handle is no longer valid. "
"File has been deleted\n");
continue;
} else {
perror("open_by_handle_at");
exit(EXIT_FAILURE);
}
}

snprintf(procfd_path, sizeof(procfd_path), "/proc/self/fd/%d",
event_fd);

/* 変更された dentry のパスを取得し表示する */

path_len = readlink(procfd_path, path, sizeof(path) - 1);
if (path_len == -1) {
perror("readlink");
exit(EXIT_FAILURE);
}

path[path_len] = '\0';
printf("\tDirectory '%s' has been modified.\n", path);

if (file_name) {
ret = fstatat(event_fd, file_name, &sb, 0);
if (ret == -1) {
if (errno != ENOENT) {
perror("fstatat");
exit(EXIT_FAILURE);
}
printf("\tEntry '%s' does not exist.\n", file_name);
} else if ((sb.st_mode & S_IFMT) == S_IFDIR) {
printf("\tEntry '%s' is a subdirectory.\n", file_name);
} else {
printf("\tEntry '%s' is not a subdirectory.\n",
file_name);
}
}

/* Close associated file descriptor for this event */

close(event_fd);
}

printf("All events processed successfully. Program exiting.\n");
exit(EXIT_SUCCESS);
}

この文書について

この man ページは Linux man-pages プロジェクトのリリース 5.10 の一部である。プロジェクトの説明とバグ報告に関する情報は https://www.kernel.org/doc/man-pages/ に書かれている。

Man page - fanotify(7)

Packages contains this manual

Available languages:

Manual

FANOTIFY

名 前

説 明

fanotify_init(), fanotify_mark() と 通 知 グ ル ー プ

イ ベ ン ト キ ュ ー

fanotify イ ベ ン ト の 読 み 出 し

fanotify フ ァ イ ル デ ィ ス ク リ プ タ ー の イ ベ ン ト を 監 視 す る

ア ク セ ス 許 可 イ ベ ン ト の 取 り 扱 い

fanotify フ ァ イ ル デ ィ ス ク リ プ タ ー の ク ロ ー ズ

/proc/[pid]/fdinfo

エ ラ ー

バ ー ジ ョ ン

準 拠

注 意

制 限 と 警 告

バ グ

例