私の目標:
ファイルへの絶対パス(またはファイルへの絶対パスを確認するための作業ディレクトリ)を使用して実行するためにファイル/スクリプトを開くと、カーネルからイベントを受け取ります。
開いているすべてのファイルに対してイベントを受信したくありません。
トレースポイントイベントを聞いてプロセスがインタプリタであるかどうかを確認しようとしましたが、ファイル
sched:sched_process_exec名が常に表示されるわけではなく、表示された場合は相対パスであるため、ファイルが次のものから取得されたかどうかを確認することはできません。私が探しているタイプ(スクリプト)です。fanotifyを使用してFAN_OPEN_EXECフラグを設定するオプションがあることを知っていますが、これは最新のカーネル(> 5.0)でのみ機能し、古いカーネルにも何かが必要です(文書によるとファイルでも機能するかどうかはわかりません)。
どんなアイデアがありますか?