Наблюдение за тем, какая программа вызывает исполняемый файл

Возможно, вы могли бы использовать аудит . Fedora включает его по умолчанию и заполняет журнал строками NETFILTER_CFG.

См. Этот вопрос:

Аудит изменений в текущей конфигурации iptables

В показанном примере релевантным процессом является iptables , который может быть не очень полезным. Однако он также записывает ppid , родительский процесс (а также очевидный pid ).

Если родительский процесс также завершается немедленно ...

Вы можете легко использовать учет процессов (пакет acct ) для отслеживания имен каждого завершающегося процесса ( lastcomm команда). Однако это меньше информации, чем вы думаете. Я имею в виду "баш" здесь.

Возможно, лучше запустить fatrace для отслеживания открытых файлов, включая выполнение программы. Только не пытайтесь передать это, например. через grep - он не сгенерирует никакого вывода, я не знаю почему.

Также есть страница на execsnoop . Если вы можете использовать эту программу или любую из предлагаемых ею альтернатив, это будет легче всего интерпретировать.

Технически я не разрешил fork () . Но я не могу придумать вескую причину, по которой вы использовали бы fork () без exec () для создания правил netfilter.