Sou novo no desenvolvimento do Kernel do Linux, e agora estou designado para desenvolver um módulo do kernel do Linux, que pode monitorar a rede, sistema de arquivos, portas USB e portas seriais.
Estou ciente das coisas como netfilter / iptables, libpcap, inotify e lse (módulos de segurança linux). Eu sei que há sempre mais de uma maneira de esfolar um gato, especialmente no mundo Linux.
Ainda estou me perguntando qual é a maneira correta de fazer auditoria no kernel do Linux hoje em dia.
Qualquer sugestão é apreciada.