.png)
一些同事间歇性地遇到计算机挂起/休眠的问题(运行 RHEL 6.7,正常工作站安装,没有什么特别的)。事实证明,问题在于/sys以只读方式安装。它很容易修复,mount /sys -o remount,rw但这不是一次性问题,它经常发生。
我想找出是什么将 sysfs 更改为只读,但不知何故在寻找适当的方法。根据我的记忆,inotifywait或者inotifywatch只会显示有关特定索引节点的某些内容发生了变化,但不显示哪个进程触发了此变化。
或许审计可以提供帮助,尽管我不确定如何以可行的方式限制系统调用,因为这不是真正的文件系统。添加一条监视 /sys 上的mount和syscalls的规则unmount是否足以检测 sysfs 中的更改?例如这样:
auditctl -a always,exit -F path=/sys -S mount -S umount
除此之外,如果有任何其他工具更合适,或者任何可能出现此问题的指示,我们将不胜感激。