Bonjour mesdames, mesdemoiselles et messieurs,
Ma question est simple dans sa formulation, et j'espère qu'elle sera simple dans sa réponse :
"Comment savoir qui écrit quoi sur mon système de fichier ? quel processus écrit régulièrement dans le /var, ou ailleurs, et où il écrit...."
Merci pour vos réponses.
Forum général.général Qui écrit quoi... comment savoir ?
15
déc.
2004
# man lsof
Posté par riba . Évalué à 1.
[^] # Re: man lsof
Posté par Ph Husson (site web personnel) . Évalué à 2.
ca peut aussi etre strace
ou un module noyau
Faut avoir plus de detail!
[^] # Re: man lsof
Posté par Matthieu . Évalué à 3.
- quand ?
-> je ne sais pas
- ou ?
-> faudrait me le dire
But de l'opération : savoir qui écrit des fichiers dans /var par exemple car j'aurais besoin (pour économiser mon très vieux matériel) de limiter au plus possible les écritures disques (le matériel sert de routeur adsl).
Lsof : je connais, mais ça ne marche qu'à l'instant t. Pour un processus qui n'écrit qu'une ligne dans un fichier en 1ms (par exemple), je vais avoir du mal à être à l'heure !
merci quand même pour vos réponses
# lsof et compagnie
Posté par Obsidian . Évalué à 2.
Merci ! merci, merci ! cher public, je vous aime ! :-)
« Comment savoir qui écrit quoi sur mon système de fichier ? quel processus écrit régulièrement dans le /var, ou ailleurs, et où il écrit »
- « lsof », pour savoir quels sont les fichiers ouverts à un moment donné.
- Sinon, sous Linux en particulier, tu peux aller voir dans /proc/n/fd, où n est le PID (le numéro) d'un processus quelquonque, pour voir les file descriptors dudit processus. ls -l /proc/*/fd/* , par exemple, c'est fun.
- Si tu as besoin de surveiller un fichier à un moment en particulier, tu peux aussi te taper un peu de C et utiliser select(). Tu seras prévenu au moment où il se passe quelque chose sur le fichier en question et pourra facilement remonter jusqu'aux processus qui possèdent un descripteur sur lui.
# tu peux deja utiliser noatime
Posté par djnet . Évalué à 1.
Elle evite une ecriture disque a chaque acces (memorisation de la date d'acces aux fichiers).
Cela ne repond pas exactement a la question mais je pense que c'est deja la première étape ...
Cdlt
# AMHA
Posté par doublehp (site web personnel) . Évalué à 1.
Si XFS peut le faire sur un server NFS, je pense que tu n aura pas de mal a canserver ce journal en local ( meme si as moins d interret). Par default ces fonctions avancees sont desactivees. Il te faudra lire plus de docs que moi. Je sais juste qu il /peut/ le faire.
Il me parait evident que ext2 ne peut pas faire ca.
Concernant ext3 et ReisorFS, je pense que les versions recentes peuvent le faire ... parce que si ils le font pas, ils ne peuvent pas faire ombre a XFS ... et comme ils sont plus recents ...
Un bon journal permet de tracer presque toutes les attaque, les rootkits installes, et parfois de retrouver une bonne partie des donnees perdues. Le principale etant juste de synchroniser l ejournal, puis eteindre bruptalement la machine; l etude du journal d une machine attaquee se fait toujours a froid ( = transfert du/des disques dans une autre machine, ou boot sur rescue CD).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.