У меня есть два сервера RHEL 6.10, где / tmp постоянно заполняется тысячами файлов со следующими именами
-rw-rw-r--. 1 root root 0 Feb 22 17:30 fileoQ1gE0
-rw-rw-r--. 1 root root 0 Feb 22 17:31 fileTFa0e7
-rw-rw-r--. 1 root root 0 Feb 22 17:32 fileSxEdEa
-rw-rw-r--. 1 root root 0 Feb 22 17:33 filegoLf6g
-rw-rw-r--. 1 root root 0 Feb 22 17:34 filebj3CJv
-rw-rw-r--. 1 root root 0 Feb 22 17:35 fileEVJerA
-rw-rw-r--. 1 root root 0 Feb 22 17:36 file5X9G3G
-rw-rw-r--. 1 root root 0 Feb 22 17:37 fileScyBJY
-rw-rw-r--. 1 root root 0 Feb 22 17:38 filePCq3K0
-rw-rw-r--. 1 root root 0 Feb 22 17:39 filePnBcVp
-rw-rw-r--. 1 root root 0 Feb 22 17:40 fileTbupIR
-rw-rw-r--. 1 root root 0 Feb 22 17:41 file4jmFGS
-rw-rw-r--. 1 root root 0 Feb 22 17:42 fileBP8HL0
-rw-rw-r--. 1 root root 0 Feb 22 17:43 fileb605If
-rw-rw-r--. 1 root root 0 Feb 22 17:44 file8Rubgm
-rw-rw-r--. 1 root root 0 Feb 22 17:45 file7UJEJr
-rw-rw-r--. 1 root root 0 Feb 22 17:46 filethKoZv
-rw-rw-r--. 1 root root 0 Feb 22 17:47 fileJEVJpL
-rw-rw-r--. 1 root root 0 Feb 22 17:48 filebeLOuP
-rw-rw-r--. 1 root root 0 Feb 22 17:49 fileN1VVJU
-rw-rw-r--. 1 root root 0 Feb 22 17:50 fileHO9fll
-rw-rw-r--. 1 root root 0 Feb 22 17:51 filejEj1Rq
-rw-rw-r--. 1 root root 0 Feb 22 17:52 fileMPnCWJ
В crontab рута ничего нет, есть ли способ узнать, какой процесс здесь создает файлы? Хотя они 0 байтов, это меня беспокоит, так как я просто не знаю, зачем они созданы.
включить auditd и напишите несколько правил, наблюдающих за разрешениями типа записи в этот каталог.
-w /tmp -p w -k tmp
Руководство по безопасности RHEL 6> Глава 7. Системный аудит
Может быть, быстро lsof|grep /tmp/file выплевывает PID, которому принадлежат файлы?