Хотите знать (используя любой инструмент linux /cmd), кто фактически запустил процесс с использованием sudo в linux и с помощью файла конфигурации из своего домашнего каталога? Как проверить, кто его запустил и каков абсолютный путь к этому файлу конфигурации? Я заглянул в /proc /$ PID /environment и нашел пользователя, но не могу найти абсолютный путь к файлу конфигурации? Этот пользователь имеет один и тот же dir /conf.prod в нескольких подкаталогах?
1
1 ответ
3
Сначала посмотрите системный журнал. Это будет в /var/log . В зависимости от того, на какой платформе он будет называться messages или auth.log или system.log .
Пример в системном журнале команды sudo logging-:
Apr 19 23:22:14 diabolus.local sudo[1583]: suspectu : TTY=ttys001 ; PWD=/home/suspectu ; USER=root ; COMMAND=/bin/date
Что касается конфигурации, используемой для запуска службы, посмотрите журналы службы. В качестве альтернативы lsof может быть использован для отображения файлов (которые могут включать в себя файлы конфигурации), открытых процессом.
lsof -p <pid>