Возможно, вы могли бы использовать аудит
. Fedora включает его по умолчанию и заполняет журнал строками NETFILTER_CFG.
См. Этот вопрос:
Аудит изменений в текущей конфигурации iptables
В показанном примере релевантным процессом является iptables
, который может быть не очень полезным. Однако он также записывает ppid
, родительский процесс (а также очевидный pid
).
Если родительский процесс также завершается немедленно ...
Вы можете легко использовать учет процессов (пакет acct
) для отслеживания имен каждого завершающегося процесса ( lastcomm
команда). Однако это меньше информации, чем вы думаете. Я имею в виду "баш" здесь.
Возможно, лучше запустить fatrace
для отслеживания открытых файлов, включая выполнение программы. Только не пытайтесь передать это, например. через grep - он не сгенерирует никакого вывода, я не знаю почему.
Также есть страница на execsnoop
. Если вы можете использовать эту программу или любую из предлагаемых ею альтернатив, это будет легче всего интерпретировать.
Технически я не разрешил fork ()
. Но я не могу придумать вескую причину, по которой вы использовали бы fork ()
без exec ()
для создания правил netfilter.