отслеживать, какой процесс изменил файл в FreeBSD / Linux

Question

Время от времени интересующий меня файл изменяется каким-либо процессом. Мне нужно выяснить, какой процесс модифицирует этот файл. Использование lsof не будет работать, как и kqueue. Возможно ли это под FreeBSD и Linux?

Answer 1

В Linux есть патч ядра для inotify . Однако некоторые говорят, что это редко полезно и может представлять угрозу безопасности. В любом случае, вот патч .

Кроме того, я не уверен, что есть какой-либо способ получить PID, с помощью inotify или dnotify . Вы можете продолжить расследование (например, поиск pid dnotify или pid inotify ), но я считаю, что это маловероятно.

Answer 2

В Linux есть демон аудита http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

См. Также Домашняя страница Audit

Answer 3

Во FreeBSD, возможно, будет лучше, если вы проверите его функции аудита .

Answer 4

Вы можете увидеть, какие процессы открыли файл, просто установив и используя команду lsof (LiSt Open Files).