我如何判斷哪個程序正在 chown’ing 我的文件？

我有一個應該由普通使用者擁有的文件，大約每 4 分鐘和 20 分鐘一小時後就會被 root 使用者所擁有。我怎麼知道這是在做什麼？

/etc/crontab 或 root 的 crontab 在 4/20 分鐘似乎沒有任何東西可以做到這一點……

為了解決這個問題，我一直在這樣做：

while true; do 
 inotifywait -e attrib /path/to/file
 chown userid:usergroup /path/to/file
done

但我真的很想知道如何弄清楚是什麼程序在瞬間修改文件並一勞永逸地解決這個問題

如果您啟用程序記帳，您將能夠使用它lastcomm來辨識已執行的程序chown

在 Debian（可能還有其他deb基於系統的系統）上，包含該accton命令的軟體包是acct

apt install acct
accton on

touch file
chown roaima file    # Failed, but no matter

lastcomm chown
chown        roaima    pts/0    0.00 secs Sat Nov  6 10:12

引用自：https://unix.stackexchange.com/questions/676412