Na saída de lsof / , além dos arquivos abertos para gravação ( w suffix na coluna FD), procure arquivos marcados com (deleted) . Arquivos fora de /var , /tmp (e /run , etc.) e diretórios iniciais geralmente não permanecem abertos para gravação por um longo tempo. Mas após uma atualização de algum software, pode haver algum arquivo executável, biblioteca ou dados que ainda esteja em uso (aberto para leitura ou execução) por um processo em execução que foi iniciado antes da atualização.
Quando um arquivo é excluído, mas ainda é aberto, ele na verdade apenas remove sua entrada de diretório. O arquivo em si é excluído apenas quando não tem entrada de diretório e não está aberto. Essa última parte da exclusão não pode acontecer em um sistema de arquivos que é montado somente para leitura, de modo que esse arquivo meio apagado evita remontar o sistema de arquivos como somente leitura como um arquivo aberto para gravação.