Sie können nicht nachträglich feststellen, welcher Prozess eine Datei erstellt hat ... Sie müssen das System überwachen, während die Datei erstellt wird.
Verwenden Sie auditd, um Ihnen zu helfen. Wenn es installiert ist und ausgeführt wird, führen Sie Folgendes aus dem oben angegebenen Verzeichnis als root aus:
auditctl -w "$(pwd)/1" auditctl -w "$(pwd)/=1" Wenn Sie gesehen haben, dass die Datei (en) erstellt oder geändert wurden, führen Sie Folgendes aus:
ausearch -f "$(pwd)" Sie sollten Ausgaben mit Datensätzen anzeigen, die durch break ( ----) begrenzt werden.
Ich sehe Folgendes, nachdem ich eine Uhr eingerichtet /home/attie/testingund dann touchzum Erstellen / Aktualisieren verwendet habe:
time->Mon Sep 10 14:41:07 2018 type=PROCTITLE msg=audit(1536586867.166:1192): proctitle=746F7563680074657374696E67 type=PATH msg=audit(1536586867.166:1192): item=1 name="testing" inode=8442 dev=00:b8 mode=0100644 ouid=1000 ogid=1000 rdev=00:00 nametype=CREATE type=PATH msg=audit(1536586867.166:1192): item=0 name="/home/attie" inode=4 dev=00:b8 mode=040701 ouid=1000 ogid=1000 rdev=00:00 nametype=PARENT type=CWD msg=audit(1536586867.166:1192): cwd="/home/attie" type=SYSCALL msg=audit(1536586867.166:1192): arch=c000003e syscall=2 success=yes exit=3 a0=7ffc35557634 a1=941 a2=1b6 a3=69d items=2 ppid=25572 pid=31301 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts2 ses=24669 comm="touch" exe="/bin/touch" key=(null) Beachten Sie die folgenden wichtigen Informationen:
type=PATH [...] item=1 name="testing"type=CWD [...] cwd="/home/attie"type=SYSCALL [...] exe="/bin/touch"
Sobald Sie den Vorgang festgelegt haben, sollten Sie die Regel (n) entfernen. Dadurch werden alle Regeln gelöscht:
auditctl -D