我如何知道哪个进程正在 chown'ing 我的文件?

tag-icon tag-icon files
我如何知道哪个进程正在 chown'ing 我的文件?

我有一个文件,该文件应该由一个普通用户拥有,该用户大约每 4 到 20 分钟就会被某个东西 chown 为 root。我怎样才能知道这是做什么的?

/etc/crontab 或 root 的 4/20 分钟的 crontab 中似乎没有任何内容可以做到这一点......

为了解决这个问题,我一直在这样做:

while true; do 
  inotifywait -e attrib /path/to/file
  chown userid:usergroup /path/to/file
done

但我真的很想知道如何找出哪个进程正在即时修改文件并一劳永逸地解决这个问题

答案1

如果你启用流程记帐你将能够使用lastcomm识别已执行的进程chown

在 Debian(可能还有其他deb基于系统)上,包含该命令的软件包acctonacct

apt install acct
accton on

touch file
chown roaima file    # Failed, but no matter

lastcomm chown
chown        roaima    pts/0    0.00 secs Sat Nov  6 10:12

相关内容