一部の同僚は、コンピュータの停止/休止状態(RHEL 6.7の実行、一般的なワークステーションのインストール、特別なものはありません)の問題を断続的に経験します。問題は/sys
読み取り専用モードでインストールすることがわかりました。修復は簡単ですmount /sys -o remount,rw
が、これはワンタイム問題ではなく頻繁に発生します。
私はsysfsを読み取り専用に変更する方法を見つけようとしていますが、どういうわけか適切な方法を探しています。私が覚えているのinotifywait
は、inotifywatch
特定のinodeの内容が変更されたことを示していますが、どのプロセスがこの変更を引き起こしたかを示していません。
おそらく審査実際のファイルシステムではないので、実行可能な方法でシステムコールを制限する方法はわかりませんが、役に立ちます。 sysfsの変更を検出するのに十分な/sysmount
とsyscallを監視するルールを追加していますか?unmount
たとえば、
auditctl -a always,exit -F path=/sys -S mount -S umount
他にも、他にも適切なツールがある場合、またはこの問題が発生する理由についてのアドバイスがある場合は感謝します。