O caminho mais lento seria usar PS: o que "ps -o comm = -p $ PPID" faz para capturar o (s) processo (s) pai (s) até encontrar algo interessante.
Como você está usando o bash no script, adicione:
ps -o pid=,comm= -p $PPID
e redirecionar isso para um arquivo temporário. Inspecione o conteúdo desse arquivo e, em seguida, inspecione a árvore pai; se, por exemplo, esse arquivo contiver:
8815 bash
depois siga com:
ps -o ppid=,comm= -p 8815
onde aqui estamos pedindo o pai pid e o comando do processo 8815.
Com um sistema Linux, insira pstree -s -p $$
para solicitar a cadeia de ancestralidade para o processo atual ( $$
).
Em algum momento, você terminará com o gerenciador de área de trabalho ou qualquer outro método usado para fazer login.
É perfeitamente possível que um dos seus scripts de inicialização do bash esteja configurando isso; Eu tomaria emprestada esta resposta, por exemplo e executaria algo como:
bash -ix </dev/null 2>trace
e, em seguida, pesquise o arquivo trace
do script inotify em questão. Como a resposta vinculada também diz, as melhores estimativas iniciais são:
-
~/.bash_profile
-
~/.profile
-
~/.bash_login
-
/etc/profile
-
~/.bashrc
... e nesse caso você pode tentar:
grep clamscanInotify.sh ~/.bash_profile ~/.profile ~/.bash_login /etc/profile ~/.bashrc