使用 EBPF 挂钩文件删除

如果文件名以“t”开头，我想拒绝在 Linux 计算机上删除文件。

这是我所做的：

#define __TARGET_ARCH_arm64 

#include <linux/ptrace.h>
#include <bpf/bpf_tracing.h>
#include <bpf/bpf_core_read.h>

char LICENSE[] SEC("license") = "Dual BSD/GPL";

typedef struct {
        int counter;
} atomic_t;

struct filename {
        const char *name;
        const char *uptr;
        atomic_t refcnt;
        struct audit_names *aname;
        const char iname[0];
};

SEC("kprobe/do_unlinkat")
int BPF_KPROBE(do_unlinkat, int dfd, struct filename *name)
{
    char filename[128];
    const char *ptr_filename = BPF_CORE_READ(name, name);
    int ret = bpf_probe_read_kernel_str(filename, sizeof(filename), ptr_filename);
    if (filename[0]=='t')
    {
        bpf_printk("This file starts by 't'");

        // return 1;   <- returning 1 or -1 does not "cancel" the syscall...

        // I have also tried to change filename on the fly...
        filename[0]='w';
        bpf_copy_from_user((void *) ptr_filename, 1, filename);
        // bpf_copy_from_user((void *) name->name, 1, filename); // Also tried this...
   }

    bpf_printk("Deleting this file:%s", filename);
    return 0;
}

我首先不明白的是 BPF_KPROBE 的返回值是什么？ 我原以为返回 0 以外的值会取消系统调用。 但我的文件还是被删除了...

我尝试过更改文件名。但是当我尝试编译 eBPF 时 bpf_copy_from_user 会导致错误：

libbpf: prog 'do_unlinkat': BPF program load failed: Permission denied
libbpf: prog 'do_unlinkat': -- BEGIN PROG LOAD LOG -- arg#0 reference
type('FWD pt_regs') size cannot be determined: -22 0: R1=ctx() R10=fp0

有什么想法吗？