surveiller quel processus a modifié un fichier sous FreeBSD / Linux
Question
De temps en temps, un fichier qui m'intéresse est modifié par un processus quelconque. J'ai besoin de savoir quel processus modifie ce fichier. L'utilisation de lsof ne fonctionnera pas, pas plus que kqueue. Est-ce possible sous FreeBSD et Linux?
La solution
Sous Linux, un correctif de noyau flotte pour inotify . Cependant, certains ont dit que cela était rarement utile et que cela pouvait constituer un risque pour la sécurité. Dans tous les cas, voici le patch .
À part cela, je ne suis pas sûr qu'il soit possible d'obtenir le PID, avec inotify ou dnotify . Vous pouvez étudier plus en détail (par exemple, rechercher pid dnotify ou pid inotify ), mais j’estime que ce n’est pas probable.
Autres conseils
Sous FreeBSD, il serait peut-être préférable de check ses fonctionnalités d'audit .
Linux a un démon d'audit http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
Voir aussi page d'accueil auditd
Vous pouvez voir quels processus ont ouvert un fichier qui vient d’installer et d’utiliser la commande lsof (LiSt Open Files).