想知道(使用任何 Linux 工具/cmd)谁在 Linux 上使用 sudo 启动了一个进程,并使用了主目录中的配置文件?如何检查谁启动了它以及这个配置文件的绝对路径是什么?我查看了 /proc/$PID/environ 并找到了用户,但似乎找不到配置文件的绝对路径?此用户在多个子目录中有相同的 dir/conf.prod?
答案1
首先查看系统日志。它将位于 中/var/log。根据平台的不同,它将被调用messages或 auth.log或system.log。
sudo 命令日志的系统日志示例:
Apr 19 23:22:14 diabolus.local sudo[1583]: suspectu : TTY=ttys001 ; PWD=/home/suspectu ; USER=root ; COMMAND=/bin/date
关于启动服务所用的配置,请查看服务日志。或者,也lsof可以用来显示进程打开的文件(可能包括配置文件)。
lsof -p <pid>