The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"whomade - процесс, запоминающий кто создал файлы в отслеживаемых каталогах"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"whomade - процесс, запоминающий кто создал файлы в отслеживаемых каталогах"  +/
Сообщение от opennews (??), 23-Авг-25, 07:55 
Для определения приложений, создающих расходующие дисковое пространство файлы в домашнем каталоге пользователя, подготовлен фоновый процесс whomade, отслеживающий появление новых файлов при помощи механизма fanotify. Проект написан на языке С++ и распространяется под лицензией  GPLv3...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63761

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –6 +/
Сообщение от User (??), 23-Авг-25, 08:06 
Так ведь в ntfs создатель и без помощи демонов известен.
Ответить | Правка | Наверх | Cообщить модератору

13. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +4 +/
Сообщение от нах. (?), 23-Авг-25, 09:23 
ну и кто мне понасоздавал вот это вот

11/08/2025  14:05           335,149 481a175f-cf20-4ad2-8548-d0d4eaa1ca5e.tmp
22/08/2025  22:36                 0 602a6864-4320-4e8c-a888-5c212a639d78.tmp
11/08/2025  14:05           292,514 bd22900a-d2de-47a1-9700-5bd3e078d27e.tmp

?
Можешь подсказать, а то их уже под три сотни там таких?

Поделка, как я понимаю, запоминает процесс (и не один лишь ненужно-pid)

Ответить | Правка | Наверх | Cообщить модератору

96. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –5 +/
Сообщение от User (??), 23-Авг-25, 20:39 
https://github.com/microsoft/ProcMon-for-Linux/blob/main/pro... - для linux

https://github.com/microsoft/ProcMon-for-Linux/blob/main/pro... - для windows
Надеюсь поможет Вам.

Ответить | Правка | Наверх | Cообщить модератору

110. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от Владимирemail (??), 24-Авг-25, 10:37 
А ссылки обе на Линукс
Ответить | Правка | Наверх | Cообщить модератору

128. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним Анонимович Анонимов (?), 24-Авг-25, 17:57 
Вас не смущает, что ссылки ведут на github microsoft? procmon разработал Марк Руссинович ещё лет 20 назад в составе набора своих утилит Sysinternals. Потом уже портировали на Линукс https://www.opennet.dev/opennews/art.shtml?num=53387
Ответить | Правка | Наверх | Cообщить модератору

142. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (-), 24-Авг-25, 21:40 
> А ссылки обе на Линукс

Типичный юзер винды. Какие-то левые утили от майкрософт - сосватал, ссылки не проверил, все как обычно.

Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

120. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –1 +/
Сообщение от Аноним (120), 24-Авг-25, 16:49 
> Надеюсь поможет Вам.

Алло! Утилита же другого типа взаимодействия...

Но, проблема тут в том что и там и там мин.для виндов и линуксов/пользователей не компилирующих(а, компилирующим - у лично не вычитывающих исходный код, причём весь...)
-  качать некий блоб с считай троянских сайтов. Ещё же и требующую повышенных прав, что очень удобно для любых типов зловредов.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

56. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +2 +/
Сообщение от Аноним (56), 23-Авг-25, 13:36 
Так ведь он в любой ФС известен. Но только вот какие именно он процессы использовал для создания файлов - неизвестно.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

121. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (120), 24-Авг-25, 16:50 
Кто то даже заголовок ни осилил...
Ответить | Правка | Наверх | Cообщить модератору

73. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от Аноним (-), 23-Авг-25, 16:26 
> Так ведь в ntfs создатель и без помощи демонов известен.

И вот вижу я что 100500 файлов создал "SYSTEM" или "Administrator" и о чем мне это все говорит, интересно? Не, даже какой процесс это создал - хз. А system и adminsitrator юзаются более 9000 процессов по 100500 поводов. И вот чем вы тут гордиться пытаетесь?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

78. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +8 +/
Сообщение от morphe (?), 23-Авг-25, 16:46 
> Не, даже какой процесс это создал - хз.

svchost.exe

Не благодари

Ответить | Правка | Наверх | Cообщить модератору

123. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (120), 24-Авг-25, 17:03 
Потому сервисов д.б.минимум запущенно. Только те кто точно не создаёт файлы.

А, когда создаёт кто то - проактивную защиту давно придумали, и вообще тогда не нужны никакие линукс хаки типа этой поделки.
Правда, это не у zog Торвальдса... - даже Firewall полноценно ниасилившего, за 30 лет... Или скорей не пожелавшего своим пользователям-пингвинам-в-т.ч.среднестатистично-умом  такой предоставлять из коробки. Но у zog и в обычно их же корпорациях - всё есть, в т.ч. свои не публичные наработки тут.

Ответить | Правка | Наверх | Cообщить модератору

124. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (120), 24-Авг-25, 17:20 
> Так ведь в ntfs создатель и без помощи демонов известен.

Меня лично больше файловые-потоки напрягали, когда под виндой(но, файловые-потоки и под линуксом же не случайно введены... ну да всё для заботы о удобстве пользователя, только тут не обнаружишь их незапланирвоанной автором ОС проактивной защитой, по кр.мере open-source же(или есть osc?), отсутвующей [в ядре]), сохраняешь чтонибудь из троянистого лучше с internet доступом [потенциально] например, в т.ч.страницу из браузера(в т.ч.скачанного даже с их офсайтов) - получи скрытые потоки данных в нагрузку. Да, идеально троянам хранить чтонибудь.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Stanislavvv (?), 23-Авг-25, 08:18 
> Данные хранятся в БД SQLite3

А расширенные атрибуты, значит, нафиг?

Ответить | Правка | Наверх | Cообщить модератору

7. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от A.Stahl (ok), 23-Авг-25, 09:04 
Атрибуты чего? БД хранит лишь кортежи имя файла/имя процесса.
Ответить | Правка | Наверх | Cообщить модератору

8. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от Аноним (8), 23-Авг-25, 09:12 
Атрибуты ФС. Это ясно из контекста, да и термин однозначный.
Ответить | Правка | Наверх | Cообщить модератору

17. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +2 +/
Сообщение от A.Stahl (ok), 23-Авг-25, 09:32 
> Атрибуты ФС.

И какое отношение этот демон может иметь к атрибутам ФС? Вырази свою мысль полнее, я тебя не понимаю.

Ответить | Правка | Наверх | Cообщить модератору

21. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +2 +/
Сообщение от Аноним (8), 23-Авг-25, 09:50 
>> Атрибуты ФС.
> И какое отношение этот демон может иметь к атрибутам ФС? Вырази свою
> мысль полнее, я тебя не понимаю.

Попробуй подумать. Ну вот записывается информация в базу данных, чтобы потом периодически её удалять, когда файл исчезнет. Хотя достаточно записать, кто создал, прямо в атрибуты файла (которые кривой файловый менеджер обнулит, но это уже не по адресу). Можно даже без доступа пользователя на изменение, типа метки selinux.

Ответить | Правка | Наверх | Cообщить модератору

25. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от A.Stahl (ok), 23-Авг-25, 09:55 
И на каких ФС это работает? Вот я действительно ничего про это не знаю. Кинь ссылкой где всё это разжёвано.
Ответить | Правка | Наверх | Cообщить модератору

30. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от Аноним (8), 23-Авг-25, 10:08 
Ммм на всех? Сложно сказать. https://en.wikipedia.org/wiki/Extended_file_attributes
Ответить | Правка | Наверх | Cообщить модератору

33. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от A.Stahl (ok), 23-Авг-25, 10:12 
Забавно. Я не сталкивался. Гляну потом повнимательней. Это может упростить мне жизнь, на самом деле, если действительно работает.
Ответить | Правка | Наверх | Cообщить модератору

34. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +2 +/
Сообщение от Аноним (8), 23-Авг-25, 10:30 
О да, меня вот расстраивает, что записанные в атрибуты хэши с информацией об источнике файла файловые менеджеры не показывают из коробки. Но и знаю, что они там есть, и открываю окошко из контекстного меню, когда надо. Можно много чего интересного сделать на самом деле, только отсутствие поддержки в ФМ удручает. Ни xdg, ни dublincore нет.
Ответить | Правка | Наверх | Cообщить модератору

38. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +2 +/
Сообщение от A.Stahl (ok), 23-Авг-25, 10:51 
Хм. А ведь работает. Спасибо, аноним, за наводку. Это позволит мне вообще выкинуть БД со всеми БД-шными проблемами. И отдельный поток для периодической очистки БД тоже. Одни плюсы.
Ответить | Правка | Наверх | Cообщить модератору

41. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 23-Авг-25, 11:04 
Ну нормально это через eBPF делается, может, ещё чего придумаешь улучшить.
Ответить | Правка | Наверх | Cообщить модератору

69. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (-), 23-Авг-25, 15:48 
Да, правильно такие вещи в xattr писать. Надо посмотреть стандарты, возможно для этого уже предусмотрен трибут. Только PID не нужен, надо писать абсолютный путь к бинарнику. Сам давно пол зуб только:

wget --xattr

И все ссылки известны.

Правда надо помнить о опциях --xattrs для tar, cp , чтобы эти атрибуты не терялись.

  

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

122. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от derfenix (ok), 24-Авг-25, 16:58 
Dolphin показывает.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

126. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 24-Авг-25, 17:37 
А чего обнуляет при копировании? Ни dublincore, ни xdg, ни кастомные вроде хешей у меня не показывает без индексирования. Зачем индексировать, если можно прямо из иноды получить в большинстве случаев. А инода она вот уже найдена вместе с файлом.
Ответить | Правка | Наверх | Cообщить модератору

44. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от eugener (ok), 23-Авг-25, 11:39 
> Забавно. Я не сталкивался

Во времена OS/2 даже журнал бумажный издавался, "Extended Attributes". В полуоси это дело активно использовалось графической оболочкой, например, можно было назначать свои иконки любым файлам, ну и прочую доп.инфу. И всё это хранилось в EA.
Хотя линь и винда поддерживают EA — DE их почти не использует, видимо из-за современных тенденций к упрощению.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

60. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (60), 23-Авг-25, 14:06 
ага, иконки исполняемых файлов в виде папок или документов :) спасибо, не надо.
Ответить | Правка | Наверх | Cообщить модератору

66. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от eugener (ok), 23-Авг-25, 14:31 
Это да, например zip для OS/2 тоже поддерживал расширенные атрибуты, так что можно было заархивировать файл и кому-нибудь переслать, так что у того человека который его разархивирует — он будет с той же иконкой.
Сейчас это выглядит как уязвимость, а тогда была крутая фича.)
Ответить | Правка | Наверх | Cообщить модератору

49. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от Аноним (60), 23-Авг-25, 12:37 
> Хотя достаточно записать, кто создал, прямо в атрибуты файла

так файл с таким же именем может создать кто-либо другой (владелец, процесс). Цель утилиты трекать историю создания файлов и т.д. Вопрос толька накуя, когда есть аудит лог?

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

54. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –1 +/
Сообщение от Аноним (8), 23-Авг-25, 13:00 
Я думал, установить, кто создал в последний раз. Там не очень надёжно логирует, насколько я понял. Я попросил чатгпт навайбкодить, чтобы было чётко, он выдал

#include <linux/bpf.h>
#include <linux/ptrace.h>
#include <linux/fs.h>
#include <linux/uaccess.h>
#include <linux/sched.h>
#include <linux/bpf_helpers.h>
SEC("tracepoint/syscalls/sys_enter_openat")
int trace_openat(struct trace_event_raw_sys_enter *ctx) {
    char comm[TASK_COMM_LEN];
    struct file *file;
    char *filename;
    int ret;
    // Get the current process name
    bpf_get_current_comm(&comm, sizeof(comm));
    // Get the filename from the syscall arguments
    filename = (char *)ctx->args[1];
    // Set the xattr (assuming the file descriptor is valid)
    ret = bpf_set_xattr(filename, "user.created_by", comm, sizeof(comm));
    if (ret < 0) {
        return 0; // Error handling
    }
    return 0;
}
char _license[] SEC("license") = "GPL";

clang -O2 -target bpf -c your_ebpf_program.c -o your_ebpf_program.o

bpftool prog load your_ebpf_program.o /sys/fs/bpf/your_ebpf_program

bpftool prog attach /sys/fs/bpf/your_ebpf_program tracepoint syscalls:sys_enter_openat

getfattr -n user.created_by filename

надо, чтобы кто-нибудь проверил

Ответить | Правка | Наверх | Cообщить модератору

59. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (60), 23-Авг-25, 14:04 
> Там не очень надёжно логирует, насколько я понял.

так атрибуты можно редактировать (заменить current process), чтобы ввести в заблуждение. А в случае с аудит логом - нет.

Ответить | Правка | Наверх | Cообщить модератору

67. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 23-Авг-25, 14:31 
Не могу понять, почему это проблема. На практике подобного не будет никогда. А так, у меня есть похожая программа, которая следит, чтобы порождённые процессы помимо пида и команды имели записанный родительский пид и не терялись (смерть прародителя не важна). Если это не так, родитель (шелл однострочник) перезапускается новым прародителем (любым из). Пару лет крутилось тысячи процессов в день, никаких проблем (целиком благодаря sqlite). А так, конечно, линукс позволяет не только крыть команду, но и запустить другой процесс с тем же пид. Использовать для этого аудит? Увольте, лишнее.
Ответить | Правка | Наверх | Cообщить модератору

83. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (60), 23-Авг-25, 17:29 
> Не могу понять, почему это проблема.

заметать следы работы с файлами, вы же там доп. инфу храните в каких-то целях.

> Использовать для этого аудит? Увольте, лишнее.

тут надо задать главный вопрос - "зачем оно вам?", с аудитом все ясно, а вот с вашими расширенными атрибутами хранить доп. инфу чего ради? Если нет цели, которую преследует аудит, то это зря потраченное место на диске. А если вы хотите сделать аналог легкого аудита (аудита только файлов), то к вашему механизму по определению нет доверия, ибо атрибуты может менять владелец файла (процесс и т.д.), отсюда и самообман эдакий.

Ответить | Правка | Наверх | Cообщить модератору

86. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 23-Авг-25, 18:18 
Основная цель, как видится, всё же, пользователю понимать, кто это тут нагадил файлами и не прибрался -- не всегда угадаешь. И куда. А потраченное место на диске, к примеру, замечательно экономит время при последующих обращениях (не надо считать хэши, чтобы установить соответствие локальной копии удалённой, или искать принадлежность, запуская разные программы в данном случае). Вероятность того, что злонамеренная программа затрёт, конечно, не нулевая, но близко к тому и подобное едва ли попадётся. К тому же, пользователь (и любая пользовательская программа) может изменять только пользовательские расширенные атрибуты, при желании, лишить его этой возможности не проблема. Но это всё не вопрос безопасности. Любой локально исполняющийся код потенциально может иметь встроенный руткит и обойти любой rbac при желании.
Ответить | Правка | Наверх | Cообщить модератору

87. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 23-Авг-25, 18:28 
>не надо считать хэши

И это если они вообще есть, я проставляю каталогу различную информацию об архиве файла источника. Откуда получен, время, размер, и так далее. Здорово помогает при работе с данными. Аргументация, с которой удалили поддержку расширенных атрибутов из Хрома, не выдерживает никакой критики -- она просто смешная.

Ответить | Правка | Наверх | Cообщить модератору

101. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (60), 24-Авг-25, 01:25 
> Здорово помогает при работе с данными.

Тогда это уже не ФС, а объектное какое-то хранилище. И оно будет медленнее работать чем обычная простая ФС. Я к тому, что вы сегодня будете добавлять расширенные атрибуты, а завтра еще вам понадобится всякие FTS (полнотекстовой поиск) по этим атрибутам. И чем больше будет нарастать этой инфы, тем сложнее будет контролировать всякую там целостность, рекаввери при сбоях и т.д. - короче, гемор. Чем проще - тем лучше.

Ответить | Правка | Наверх | Cообщить модератору

127. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (120), 24-Авг-25, 17:55 
А, ещё можно как MS: поиск [мета-данных] - уже с помощью встроенного ИИ (под-zog, как его тут создавшего),
имеющего доступ к индексной информации да и самим файлам на ПК пользователя(и предположительно и в подсетях), в индексной же информации скрыто храня свои наблюдения (как читал на их же сайте, типа "не скрываемая" информация но, фиг же встретишь), и доп-но засирая диски и доп.загружая ПК и disk io. А, точней лучше контроллировать пользователей ОС под предлогом этого улучшения поиска, конечно же всё же во благо удобств... хавающих их любой ценой.
Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

100. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (60), 24-Авг-25, 01:20 
> Основная цель, как видится, всё же, пользователю понимать, кто это тут нагадил файлами и не прибрался -- не всегда угадаешь.

А толку следить за условно /tmp если его можно чистить по определению? А то, что в хомяке кто-то что-то нагадил, так может это и нужно для последующего вызова программы, мы же иначе должны тупо знать за все файлы каждой программы, гадит она или нет. То есть детектить гадит программа или нет - для этого достаточно ее запустить, поработать с ней и посмотреть куда-что она нагадила и все (как это сделать? - отслеживать все ее действия с файлами, средст для этого предостаточно, стрейс какой-нибудь), а дальше что? мы же ничего не изменим, программа дальше будет гадить, эта инфа нужна в одноразовых случаях и хранить ее в атрибутах считаю избыточным.

> Вероятность того, что злонамеренная программа затрёт, конечно, не нулевая, но близко к тому и подобное едва ли попадётся.

всякие лог ванишеры всегда затирали логи и меняли время изменения и т.д., думаю понятно для чего это делается.

> при желании

я просто не вижу смысла дублировать функциональность, если уже есть "систем трейсер"-ы всякие, как с точки зрения отладки, так и безопасности.

> Любой локально исполняющийся код потенциально может иметь встроенный руткит и обойти любой rbac при желании.

Никто не спорит, архитектура Фон-Неймана - не безопасТна по дизайну.

Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

70. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (70), 23-Авг-25, 15:49 
>которые кривой файловый менеджер обнулит, но это уже не по адресу)

не не, раскрывай мысль, чем потом копировать чтобы расширенные атрибуты не дропались

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

79. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от Аноним (8), 23-Авг-25, 16:57 
Ответ "не копируй" устроит? Явно не кдеешный dolphin (kio наверно) -- он сохраняет для файлов с каких-то пор, но обнуляет каталоги. И не помойка mc (стоит птичка сохранять, а толку то, позорище). Понятно не nnn. Есть человеческие фм, вот ranger не подвёл. Если двухпанельники больше по душе, vifm норм. Или mv вон при перемещении файлов между разделами сохраняет расширенные аттрибуты, cp с --preserve=all (-a) тоже, те же rsync и tar имеют ключи, сохраняющие аттрибуты. Лишний повод освоить шелл.
Ответить | Правка | Наверх | Cообщить модератору

88. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (70), 23-Авг-25, 18:30 
>И не помойка mc

не надо так о раритете

>вот ranger не подвёл

да, стоит, превью роликов работает

Забавно, что для cp нужно писать --preserve=all, а не просто -p.

>Ответ "не копируй" устроит?

Нет. У меня припекает что фс=бд с одной стороны, а с другой
все мои расширенные атрибуты дропаются простыми операциями с файлами.
Будто нужна meta_бд о бд на бд, но это на бред же

Ответить | Правка | Наверх | Cообщить модератору

102. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (60), 24-Авг-25, 01:28 
> У меня припекает что фс=бд

нет и не должна быть.

Ответить | Правка | Наверх | Cообщить модератору

103. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (60), 24-Авг-25, 01:30 
> Будто нужна meta_бд о бд на бд, но это на бред же

распределенные ФС (lustre) именно такие, там есть "мета-нода".

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

116. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (116), 24-Авг-25, 14:35 
Так они и должны дропаться при копировании. Чтобы в копию записался тот кто этот файл создал, т.е. cp там или ваш файловый менеджер.
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

129. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (120), 24-Авг-25, 17:58 
Причём это ещё и уязвимость - создал файл, скопировал консольной командой в др.файл, удалил, переименовал назад - вот даже и эта утилита уже и опозорится...  
Ответить | Правка | Наверх | Cообщить модератору

135. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 24-Авг-25, 18:47 
В чём тут уязвимость, если файл один и тот же в итоге? Если хочется знать наверняка, birth time файла не подделаешь -- прибито ко времени создания иноды (в отличие от modification time, который хоть меняться не должен, но исключительно для удобства пользователя существует). Саму иноду тоже не подделаешь без прав суперпользователя и сомнительных действий и эта инфа доступна любой программе. Лично я проставляю архивам время самого свежего файла в архиве, время загрузки (обычное применение mtime) значения не имеет. Тем же самым однострочником на баше переодически проходишься с find и все архивы понятно когда созданы изначально, какой смысл знать когда файл загружен?
Ответить | Правка | Наверх | Cообщить модератору

137. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (120), 24-Авг-25, 19:05 
nocomment... Ok, один: прочти хотя бы заголовок.
Ответить | Правка | Наверх | Cообщить модератору

138. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 24-Авг-25, 19:09 
Если делает копию, то он делает это осознанно. И заголовок при этом обновит инфу. Про то, что можно идентифицировать файл однозначно, я уже написал. Но это лишено смысла, если данные идентичны.
Ответить | Правка | Наверх | Cообщить модератору

139. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (120), 24-Авг-25, 20:11 
nocomment... Ok, один: прочти хотя бы заголовок статьи.
Ответить | Правка | Наверх | Cообщить модератору

141. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 24-Авг-25, 20:27 
Если делает копию, то он делает это осознанно. И заголовок при этом обновит инфу. Про то, что можно идентифицировать файл однозначно, я уже написал. Но это лишено смысла, если данные идентичны.
Ответить | Правка | Наверх | Cообщить модератору

74. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (-), 23-Авг-25, 16:29 
> Атрибуты чего? БД хранит лишь кортежи имя файла/имя процесса.

Интересно скуль им для этого зачем? КМК key-value типа tokyocabinet, или кто там кому модный нравится типа lmdb и проч - был бы сильно быстрее для такого?

Или даже вот реально дописать в xattr файла процесс который его создал.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

80. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от Аноним (8), 23-Авг-25, 17:12 
Это всё какое-то мёртвое и ненадёжное. У lmdb часто неподходящие ограничения, leveldb в плане ограничений получше, но по надёжности вообще самое плохое. Я gdbmtool в шелле для подобного использую (dbm в питоне), удобно и прекрасно. Производительностью не интересовался. Что случится, если ядро словит панику, или питание отключится прямо в этот момент, лучше не думать (ни разу не было, впрочем). В этом отношении sqlite сложно переплюнуть, он наиболее надёжный и файл бд выживает под любыми падениями (если не дообмазываться прагмами, конечно).
Ответить | Правка | Наверх | Cообщить модератору

143. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (-), 24-Авг-25, 23:19 
> Это всё какое-то мёртвое и ненадёжное.

Эээ в смысле "мертвое"? Оно работает, свои функции выполняет, шустрое как черти что. Куда резвее скулайта во всяком случае.

> У lmdb часто неподходящие ограничения, leveldb в плане ограничений получше,
> но по надёжности вообще самое плохое.

Его по моему биткоин юзает. Что там плохое то?

> Я gdbmtool в шелле для подобного использую (dbm в питоне),

gdbm жутко сливает tokyo cabinet по всем мыслимым аспектам AFAIK. Насколько я помню его даже qdbm делает.

> удобно и прекрасно. Производительностью не интересовался.

Ну да, мы все знаем что "питоннетормозит". А что с ним будет если вон там 100К файлов на скорость создавать? Поэтому системщина на питоне - ну, э, лол.

> разу не было, впрочем). В этом отношении sqlite сложно переплюнуть, он
> наиболее надёжный и файл бд выживает под любыми падениями (если не
> дообмазываться прагмами, конечно).

Просто юзать сиквель в режиме откровенной key-value базы - весьма неэффективно. Куча интерпретации скуля оптом - чтобы что?!

Хотя в этом смысле в xattr записать может быть проще всего. ФС особенно современные сами по себе как базы key-value в общем то. Что с кем случится при крахе? Ну вы и выбирайте между синхронными операциями/транзакциями и перфомансом. Есть гибридный вариант - если дофига валится, открывать транзакцию на батч, и синкать его. При этом потеряется "последние эн секунд при крахе". Зато перфоманс приличный и не тупило как черти что от синков.

Ответить | Правка | Наверх | Cообщить модератору

52. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +2 +/
Сообщение от Мемоним (?), 23-Авг-25, 12:53 
Аналитику считать сложнее. И, теоретически, эта информация может понадобиться и после удаления файла. По хорошему нужна поддержка обеих мест хранения.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

64. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (64), 23-Авг-25, 14:29 
> А расширенные атрибуты, значит, нафиг?

А если они не поддерживаются фс либо отключены?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

76. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (-), 23-Авг-25, 16:37 
>> А расширенные атрибуты, значит, нафиг?
> А если они не поддерживаются фс либо отключены?

Бедный FAT, он пролетает...

Ответить | Правка | Наверх | Cообщить модератору

89. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от Аноним (89), 23-Авг-25, 18:33 
Следующим вопросом будет, кто занимал 200ТБ с 1 до 3 ночи..... а файлик то в 3 ночи и стрёли. вместе с, естественно, атибутами..

..но правда для этого чудо программа должна еще и размеры хранить и их изменения во времени, и соотв статистику выводить... причём желательно не писать историю если изменение меньше чем ХХХ, дабы самой не попасть со своей базой в свой же топ с +1 байт +2 байта.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

131. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (120), 24-Авг-25, 18:22 
Проактивная защита - и никто ничего никогда никуда не может писать, куда не положенно ему. Не? Шло 3-тье тысячелетие [в линуксе]...
Ответить | Правка | Наверх | Cообщить модератору

91. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (91), 23-Авг-25, 19:11 
А я вот как раз хотел бы поглядеть, кто (какие процессы) что создавали **и удаляли** у меня в какой-то папке. Так что мне нужна история, длиной хотя бы в несколько часов. И чтобы можно было увидеть сразу все файлы, как они по времени расположились.

Из базы такой список получить — один запрос. А сгребать это из атрибутов файлов — для существующих — целое дело, для удалённых — нереализуемо.

Так что, наверное, хранение этой инфы в атрибутах — полезно, но есть и другие сценарии использования.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

94. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –1 +/
Сообщение от Аноним (94), 23-Авг-25, 20:06 
Для этого уже есть всё, что нужно, и в ядре, и в юзерспейсе. То, что кто-то не умеет пользоваться операционной системой и городит костыли — проблемы этих кого-то. У нас продакшен системы под таким аудитом. Все возможные файловые операции на сервере известны и при возникновении невозможных сервер изолируется выключением порта на свиче.
Ответить | Правка | Наверх | Cообщить модератору

133. Скрыто модератором  +/
Сообщение от Аноним (120), 24-Авг-25, 18:27 
Ответить | Правка | Наверх | Cообщить модератору

6. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –4 +/
Сообщение от Аноним (6), 23-Авг-25, 08:29 
Отличная замена ls -la, да ещё и с гуй. Всегда искал!
Ответить | Правка | Наверх | Cообщить модератору

9. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 23-Авг-25, 09:14 
Ну это вряд ли.
Ответить | Правка | Наверх | Cообщить модератору

10. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от u235 (ok), 23-Авг-25, 09:18 
Заглянул в CMakeLists.txt и собирать это как-то расхотелось.
Ответить | Правка | Наверх | Cообщить модератору

40. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от 12yoexpert (ok), 23-Авг-25, 11:01 
чувак зачем-то вместо объектных файлов архивы линкует
чувствуется колхоз
Ответить | Правка | Наверх | Cообщить модератору

42. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от u235 (ok), 23-Авг-25, 11:21 
>чувак зачем-то вместо объектных файлов архивы линкует

Меня удивили файлы README.md и CHANGELOG.md в add_executable(). И непонятно откуда берется цель sqlite3 в target_link_libraries().

Ответить | Правка | Наверх | Cообщить модератору

63. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от 12yoexpert (ok), 23-Авг-25, 14:29 
> Меня удивили файлы README.md и CHANGELOG.md в add_executable()

думаю, это для того, чтобы они в дереве проекта в IDE отображались

Ответить | Правка | Наверх | Cообщить модератору

47. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (47), 23-Авг-25, 12:15 
Объектные файлы лучше не линковать - гимора не оберёшься, add_library(... OBJECT ...) - это очень хрупкаяя вещь, напр. от C++ модулей она разваливается.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

65. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +1 +/
Сообщение от 12yoexpert (ok), 23-Авг-25, 14:31 
от модулей и компиляторы пока что разваливаются
Ответить | Правка | Наверх | Cообщить модератору

68. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (68), 23-Авг-25, 15:25 
В clang вся базовая функциональность работает и время компиляции сокращает. Не полностью, но работает. import std не работает, и в cmake под специальным вредительской переменной "пропишите "лицензионный ключ", который мы специально периодически меняем, чтобы вы эту фичу даже и не думали всерьёз заюзать". import <...>; не работает совсем.
Ответить | Правка | Наверх | Cообщить модератору

117. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от 12yoexpert (ok), 24-Авг-25, 14:57 
> В clang

дальше не читал

Ответить | Правка | Наверх | Cообщить модератору

12. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от RM (ok), 23-Авг-25, 09:22 
название subj и заголовок статьи крайне неудачны, видно из комментов.
народ просто не понимает (не удивительно), что отслеживается не пользователь, создавший файл, а процесс.
whatcreated а не whomade было бы лучше, как вариант.
ну и в заголовоке заменить "кто" на "программу"
Ответить | Правка | Наверх | Cообщить модератору

20. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (-), 23-Авг-25, 09:40 
> в заголовоке заменить "кто" на "программу"

Или на "что". Этого будет достаточно, но я согласен очень полезно, потому что с толку сбивает.

Ответить | Правка | Наверх | Cообщить модератору

18. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +2 +/
Сообщение от freehck (ok), 23-Авг-25, 09:33 
A.Stahl, ты конечно молодец, что почитал доки и сделал свою реализацию, но вообще-то, хоть мне и неловко сейчас тебе это говорить, однако такой процесс уже есть, и он называется auditd.

Минуточку внимания:


% apt-get install auditd
% auditctl -w /srv/watcher -p wa -k file-creation
% touch /srv/watcher/f1
% ausearch -k file-creation
time->Sat Aug 23 06:27:29 2025
type=PROCTITLE msg=audit(1755930449.930:203): proctitle=746F756368006631
type=PATH msg=audit(1755930449.930:203): item=1 name="f1" inode=106694349 dev=fc:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1755930449.930:203): item=0 name="/srv/watcher" inode=106700802 dev=fc:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1755930449.930:203): cwd="/srv/watcher"
type=SYSCALL msg=audit(1755930449.930:203): arch=c000003e syscall=257 success=yes exit=3 a0=ffffff9c a1=7ffef733c719 a2=941 a3=1b6 items=2 ppid=494441 pid=495433 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts12 ses=52246 comm="touch" exe="/usr/bin/touch" subj=unconfined key="file-creation"

Ответить | Правка | Наверх | Cообщить модератору

19. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –1 +/
Сообщение от A.Stahl (ok), 23-Авг-25, 09:39 
> такой процесс уже есть, и он называется auditd.

Это хорошо, но теперь прикрути туда БД и какой-то механизм для настройки всего этого.

То, что за гаражом валяются какие-то колёса и ты знаешь где купить хороший японский двигатель не означает что у тебя есть машина.

Ответить | Правка | Наверх | Cообщить модератору

22. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +2 +/
Сообщение от freehck (ok), 23-Авг-25, 09:50 
> Это хорошо, но теперь прикрути туда БД

А зачем нужна БД, если всю необходимую информацию можно получить через ausearch.

> механизм для настройки всего этого

Так auditctl же.

Ответить | Правка | Наверх | Cообщить модератору

90. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (-), 23-Авг-25, 18:56 
freehck, ты конечно молодец..

-p [r|w|x|a]    ... This is deprecated. Convert watches to the syscall form.
-w path    The -w form of writing watches is for backwards compatibility and is deprecated due to poor system performance. Convert watches of this form to the syscall based form.

Больше интересует разница в "system performance"  auditctl vs fanotify и какая(возможно они используют одинаковый механизм, хз), скорее это главный вопрос, который относится к обоим подходам. А то включил такой аудит и сидишь с довольным фейсом "какой ты молодец", а оно "под капотом" добавляет n999999 ms задержку на любой чих.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

106. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от freehck (ok), 24-Авг-25, 07:07 
> deprecated

Спасибо за предупреждение, конечно, однако пока это не появилось в LTS-релизе Ubuntu, мне в целом всё равно.

> Больше интересует разница в "system performance"

Да не сильно оно влияет. Ты ж не все сисколлы обвязываешь, а прямо конфигурируешь, за какими следить, а за какими нет.
У меня ИБшники на первой работе через auditd пачку сисколлов собирали -- по ощущениям разницы вообще не было никакой.
Ну то бишь по ощущениям об отзывчивости системы. Собственные ощущения были вида "вот же пасут меня по всем фронтам".

Ответить | Правка | Наверх | Cообщить модератору

24. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –1 +/
Сообщение от Аноним (24), 23-Авг-25, 09:54 
>addDir(DirAction::ADD, DirType::MONITOR, "/home/astahl/.config");
>addDir(DirAction::ADD, DirType::MONITOR, "/home/astahl/.cache");
>addDir(DirAction::ADD, DirType::IGNORE,  "/home/astahl/.cache/mozilla");

Зачем вы новость на опеннет написали, если программа сделана исключительно для вашего личного пользования. И выкиньте нахрен эту библиотеку для парсинга опций командной строки, она не поддерживается, малофункциональная и глючная. Есть гораздо лучшие альтернативы:

1. https://github.com/CLIUtils/CLI11
2. https://git.code.sf.net/p/tclap/code
3. https://github.com/bfgroup/Lyra
4. https://github.com/saveman/octargs

И инлайнить либы в репозиторий - это очень некрасиво. Освойте CMake наконец.

Ответить | Правка | Наверх | Cообщить модератору

26. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от A.Stahl (ok), 23-Авг-25, 10:01 
Это обычные плейсхолдеры, чтобы пользователь сразу понял что туда вводить. Их можно менять. Их нужно менять.

>эту библиотеку для парсинга опций командной строки

Она работает. Никаких нареканий у меня нет. Чем твои варианты лучше?

>инлайнить либы в репозиторий - это очень некрасиво.

Для мелких некритичных либ -- самое оно.

Ответить | Правка | Наверх | Cообщить модератору

29. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –4 +/
Сообщение от Аноним (24), 23-Авг-25, 10:05 
Это вам локальная модель так навайбкодила? Потому что ни один программист так не напишет в продакшн-коде.
Ответить | Правка | Наверх | Cообщить модератору

31. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  –1 +/
Сообщение от Аноним (24), 23-Авг-25, 10:09 
>Она работает. Никаких нареканий у меня нет. Чем твои варианты лучше?

Вы забыли (или никогда не знали) пословицу всех технооптимистов/материалистов/редукционистов/программистов: "you are only as good as your tools". "Меня устраивает" - не оправдание, а дешёвая отмазка, не выдерживающая никакой критики. "Не хватает денег" - уже более сильное оправдание, но оно не очень применимо к библиотеке для парсинга командной строки.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

45. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Фрол (?), 23-Авг-25, 11:57 
> "Меня устраивает" - не оправдание, а основной принцип UNIX, начиная с первой же версии.

// очевидный фикс

Ответить | Правка | Наверх | Cообщить модератору

46. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (47), 23-Авг-25, 12:11 
UNIX была коммерческой ОС. Коммерсы с принципом "меня всё устраивает" с рынка вылетели бы ... а всякие QNX, AIX и прочие и поныне продаются за бабло вме6сто того чтобы "нас всё устраивает, а вы - валите на линукс или винду".
Ответить | Правка | Наверх | Cообщить модератору

81. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (94), 23-Авг-25, 17:13 
> AIX и прочие и поныне продаются за бабло вме6сто того чтобы "нас всё устраивает, а вы - валите на линукс или винду".

IBM практически прямым текстом говорит именно это — валите на линукс или винду — любому, кто хочет купить AIX. И не знает как сделать так, чтобы на линукс и винду свалили наконец те, кто уже купил и десятки лет использует. И что-то у них проблем с прибылями нет.

Ответить | Правка | Наверх | Cообщить модератору

92. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Мемоним (?), 23-Авг-25, 19:15 
> И что-то у них проблем с прибылями нет.

Вообще-то есть. Прибыль за 2015 13.1 млрд долларов, а в 2022 1.6 млрд

Ответить | Правка | Наверх | Cообщить модератору

132. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (94), 24-Авг-25, 18:27 
Когда будут убытки — тогда и будут проблемы. За остальным советую читать не строчку про прибыль в википедии, а публикуемый отчёт для SEC, там видно и откуда берутся деньги, и куда они исчезают.
Ответить | Правка | Наверх | Cообщить модератору

104. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Фрол (?), 24-Авг-25, 02:34 
> UNIX была коммерческой ОС. Коммерсы с принципом "меня всё устраивает" с рынка
> вылетели бы ... а всякие QNX, AIX и прочие и поныне
> продаются за бабло вме6сто того чтобы "нас всё устраивает, а вы
> - валите на линукс или винду".

UNIX не была "коммерческой" ОС.

во-первых, законодательство не разрешало at&t ее продавать (до 1982).

во-вторых, коммерческих задач, тех, что BICARSA GLAPPR, at&t на Unix и близко не планировала решать.

вообще странно называть коммерческой ос, распространявшуюся по принципу "оплати цену ленты, на тебе исходники и @бись с ними, как хочешь. и не звони нам больше"

Набор софта, который они поставляли с  Unix, был именно из серии "меня все устраивает", инструменты, используемые внутри самой at&t: writer,s workbench, documenter's workbench, programmer's workbench. вывод на фотонаборный автомат и т.п.

и с рынка она прекрасно вылетела, кроме тех мест, где она идет вместе с шибко специфическим железом, вроде ibm power.

QNX я вообще не знаю зачем ты приплел, он к unix вообще отношения не имеет. ты бы еще minix вспомнил, отличный пример ОС, более распространенной, чем линукс и винды.


Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

108. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (-), 24-Авг-25, 08:47 
Ну это твоё личное, искажённое мнение.
Ответить | Правка | Наверх | Cообщить модератору

114. Скрыто модератором  +/
Сообщение от Фрол (?), 24-Авг-25, 12:22 
Ответить | Правка | Наверх | Cообщить модератору

28. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 23-Авг-25, 10:04 
Твоя правда. У меня есть похожая шляпа на питоне, но там код получше и функциональность побогаче (раз в 100). А вся работа по написанию заняла те же полчаса. Есть ещё индексатор для поиска: изначально идея была fuzzy search для похожих имён, но в конечном итоге достаточно перестановок и замен/удаления символов. Без индекса перебор часы, с индексом 10 секунд, меня устраивает.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

32. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (24), 23-Авг-25, 10:10 
В индексе случаем не dafsa?
Ответить | Правка | Наверх | Cообщить модератору

37. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +/
Сообщение от Аноним (8), 23-Авг-25, 10:40 
Да не, там простая сериализация в messagepack и cжатие, всё равно перебирать всё для поиска. Индексы просто раздельные немного, чтобы сразу десятки гигабайт памяти не кушать. Это тот случай, когда временное наколенное решение работает достаточно хорошо даже после стократного увеличения объёмов.
Ответить | Правка | Наверх | Cообщить модератору

27. "whomade - процесс, запоминающий кто создал файлы в отслежива..."  +3 +/
Сообщение от Аноним (24), 23-Авг-25, 10:01 
>query = std::format(R "SQL(INSERT INTO {0:}(dirname) SELECT '{1:}' WHERE NOT EXISTS(SELECT 1 FROM {0:}WHERE dirname = '{1:}')) SQL ", table_name, dir);

У вас случайно нет знакомого Little Bobby Tables?

Ответить | Правка | Наверх | Cообщить модератору

39. "whomade - процесс, запоминающий какие программы создают файл..."  –1 +/
Сообщение от Анонимчег (?), 23-Авг-25, 10:59 
Интересно, хоть кто-то из критикующих прислал пулл-реквест?
Ответить | Правка | Наверх | Cообщить модератору

43. "whomade - процесс, запоминающий какие программы создают файл..."  –1 +/
Сообщение от u235 (ok), 23-Авг-25, 11:33 
Типа "критикуя, предлагай" и никак иначе? Я помню этим нашу оппозицию, пока она ещё была, постоянно попрекали. Нет, я не прислал пулл-реквестов и не пришлю. Я высказал свое мнение, автор может принять его к сведению или проигнорировать и это нормально.
Ответить | Правка | Наверх | Cообщить модератору

50. "whomade - процесс, запоминающий какие программы создают файл..."  –1 +/
Сообщение от Аноним (60), 23-Авг-25, 12:43 
auditd - не, не слышал
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

48. "whomade - процесс, запоминающий какие программы создают файл..."  +2 +/
Сообщение от Аноним (48), 23-Авг-25, 12:24 
Если настоящей целью является очистка хомяка от всякого хлама, то я выбрал принципиально другой подход: весь рут ("/") монтируется в tmpfs; хомяк тоже в tmpfs; избранные папки бинд-маунтятся в долгосрочное хранилище. Таким образом после рестарта системы я получаю чуть ли не свежеустановленную ось, при этом только некоторые папки переживают перезагрузку (например ~/.config/chromium). И никакой аудит не задействуется. Пусть там хоть тысячи прог понасоздадут свой мусор в хомяке -- после перезагрузки мусор исчезнет, а папки из белого списка останутся. В интернете этот подход гуглится по словам impermanence nix.
Ответить | Правка | Наверх | Cообщить модератору

51. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Аноним (60), 23-Авг-25, 12:44 
вы, / в ro монтируйте сразу
Ответить | Правка | Наверх | Cообщить модератору

53. "whomade - процесс, запоминающий какие программы создают файл..."  +1 +/
Сообщение от пох. (?), 23-Авг-25, 12:59 
да можно просто комп не включать - никто не нагадит в хомяк!

Ответить | Правка | Наверх | Cообщить модератору

61. Скрыто модератором  +/
Сообщение от Аноним (60), 23-Авг-25, 14:07 
Ответить | Правка | Наверх | Cообщить модератору

105. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Уникум (?), 24-Авг-25, 04:33 
Потом в этом деле главное не записать пароли от биткоина в ~/bitcoin, который после ребута успешно исчезнет
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

109. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Аноним (109), 24-Авг-25, 09:08 
Использую похожий метод через bash-обёртку для bubblewrap (UNS, без рут/SUID) с поддержкой профилей. Но черные списки вместо белых. Программа "маскируется" через симлинк с её именем на эту обёртку в user-writeble директории, добавленной в начало PATH. Обёртка понимает какую программу (и с каким профилем) запускать по аргументу $0. Хомяк монтируется из директории с именем программы, вложенной в центральную. Типа `bwrap --bind ~/apps/firefox ~/ ... firefox`. Мусор выборочно монтируется как tmpfs в её профиле и по завершении работы программы исчезает.
Соответственно не нужна предварительная настройка, можно использовать один обобщенный профиль для всех по умолчанию, и выборочно настраивать только те программы, которые создают много мусора. И нет риска потерять созданные процессом файлы, например, при переименовании путей после обновления программы. Все файлы записанной программы останутся в её отдельной директории, удалятся только явно смонтированные как временные.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

113. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Аноним (113), 24-Авг-25, 11:38 
Молодец, изобрёл очередной immutable дистрибутив. Их и так развелось уже.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

55. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Мемоним (?), 23-Авг-25, 13:01 
А какая-нибудь libmdbx не лучше будет для такой достаточно простой задачи?
https://www.opennet.dev/openforum/vsluhforumID3/121987.html#9
Ответить | Правка | Наверх | Cообщить модератору

57. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Аноним (47), 23-Авг-25, 13:57 
Нет, не будет.

1. Во-первых libmbdx - это продукт человека, последовательно озвучивающего совершенно ужасную общественную позицию, которая в поддержку сил, которые нам скотобойню готовят, поэтому её сразу обходим стороной - использование этого продукта бустит карьеру его автора, а те, у кого такая общественная позиция, бустинга карьеры не заслуживают. При этом существенных недостатков в vanilla lmdb нет, поэтому сразу же заменяем в вашем предложении mbdx на lmdb.

2. Вот lmdb как раз можно заюзать, но вместе с dafsa, иначе на хранени путей разоришься. стоковая реализация dafsa в одноимённой либе к сожалению не имеет встроенной функции цепляния к листьям метаинформации. Но есть идентификатор листа, и его можно использовать как ключ хочешь в LMDB, а хочешь вообще perfect hash table сделай.

3. если используешь другие реализации, то в некоторых можно напрямую прицепить к листьям метаданные

Ответить | Правка | Наверх | Cообщить модератору

58. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Аноним (47), 23-Авг-25, 14:00 
Забыл добавить: в моей реализации чего-то подобного всё ещё lzma2-компрессией накрывалось.
Ответить | Правка | Наверх | Cообщить модератору

62. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Аноним (60), 23-Авг-25, 14:08 
> 1. Во-первых libmbdx - это продукт человека

так он по заказу "товарищмайора" делал :)

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

144. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Анонив (-), 24-Авг-25, 23:24 
>> 1. Во-первых libmbdx - это продукт человека
> так он по заказу "товарищмайора" делал :)

А, он поэтому устроил кидалово с полной сменой апи в новой версии?

Ответить | Правка | Наверх | Cообщить модератору

95. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Интересующийся (??), 23-Авг-25, 20:32 
Я пока не пойму... А systemtap запретили уже что ли? Или он не подходит для выполнения тех задач, что задумывал автор этой проги?
Ответить | Правка | Наверх | Cообщить модератору

98. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от php_не_считаем_за_опыт (ok), 23-Авг-25, 21:21 
как это собрать?
Ответить | Правка | Наверх | Cообщить модератору

99. "whomade - процесс, запоминающий какие программы создают файл..."  –1 +/
Сообщение от Аноним (99), 24-Авг-25, 01:05 
opt.addUsage(" -h  --help                     Print parameters list");
    opt.addUsage(" -w  --who <filename>           Who created this file?");
    opt.addUsage(" -a  --add <dir>                Add dir to monitor");
    opt.addUsage(" -r  --remove <dir>             Remove dir from monitor list");
    opt.addUsage(" -i  --ignore <dir>             Add dir to ignore");
    opt.addUsage(" -p  --pay_attention <dir>      Remove dir from ignore list");
    opt.addUsage(" -l  --lists                    Print monitor/ignore lists");
    opt.addUsage(" -n  --non_daemonize            Run without daemonizing");
    opt.addUsage(" -s  --stop                     Stop and quit");
    opt.addUsage(" -c  --clean                    DB cleanup");
    

В сишной экосистеме правда всё так плохо с библиотеками?

Ответить | Правка | Наверх | Cообщить модератору

118. Скрыто модератором  +/
Сообщение от Аноним (-), 24-Авг-25, 16:27 
Ответить | Правка | Наверх | Cообщить модератору

111. "whomade - процесс, запоминающий какие программы создают файл..."  –1 +/
Сообщение от Аноним (111), 24-Авг-25, 10:48 
Ящитаю что все файлы должны иметь цифровые подписи
А то поналезет лишнего и не узнать чьё.
В винте системные файлы подписаны, можно проверить левое или нет(ито подделать можно) а в лине никаких документов ни на что нет.
Да и пользователю полезно - нашли у него заррещёнку, открыли свойства...упс, ни дата ни ид компа ни программы на нём с инкриминируемым не совпадает и финиш махинации)
Ответить | Правка | Наверх | Cообщить модератору

119. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Аноним (-), 24-Авг-25, 16:38 
Твоё "ящитаю" глубоко ошибочно.
Ответить | Правка | Наверх | Cообщить модератору

136. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Аноним (120), 24-Авг-25, 18:59 
>  цифровые подписи

Не смеши мои тапочки, втройне - в век квантовых компьютеров - годных только для ускорения ИИ вычисления, удалённо-прямому подключения [его] к мозгам других людей, и быстрому взлому всяких шифровок и подписей... какое совпадение.

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

145. "whomade - процесс, запоминающий какие программы создают файл..."  +/
Сообщение от Аноним (-), 25-Авг-25, 00:04 
> Ящитаю что все файлы должны иметь цифровые подписи

1) Вот этот конфиг программ - должен иметь подпись? Потому что я окно подвинул и его позиция там засэйвилась?
2) Очевидно ключ для подписывания для этого - в памяти висел, и доступен текущему юзеру? Чтоб тот файл им подписать?
3) Окей, и что при этих условиях помешает атакующему - подписать этим ключом - какой он там хотел файл? Вот чем он от "той программы" так уж отличается, чтоб ей можно - а атакующему нельзя?

> А то поналезет лишнего и не узнать чьё.

Ничего что программы при работе файлы создают?

> В винте системные файлы подписаны, можно проверить левое или нет(ито подделать можно)

Ну скажи мне кто вот этим 123556.tmp в C:\TEMP нагадил?

> а в лине никаких документов ни на что нет.

Вообще-то в лине как раз все системные файлы - в нормальных дистро (deb-based, rpm-based) можно проверить vs пакетный менеджер, что сие такое, какому пакету приписано, совпадает ли хэш, вот это все. А в винде с этим... у нее вообще пакетов - нет. А то что там какие-то цифровые подписи - так они на всем и вся какие-то - есть. Вот только у атакующих тоже потом дофига всего подписано. А майкрософт - делает козью морду, "отзывать ключ секурбута не будем - иначе загрузка виндов сломется!". Все чего подписи MS реально стоят.

> Да и пользователю полезно - нашли у него заррещёнку, открыли свойства...упс, ни
> дата ни ид компа ни программы на нём с инкриминируемым не
> совпадает и финиш махинации)

Когда это все кого смущало? Пользователь не может качнуть условным торентом или чем там еще запрещенку чтоли?

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру