Alguns colegas têm intermitentemente problemas com a suspensão / hibernação de seus computadores (executando o RHEL 6.7, a instalação normal da estação de trabalho, nada de especial). Como se viu, o problema foi que /sys foi montado somente para leitura. Foi facilmente corrigido via mount /sys -o remount,rw , mas não foi um problema único, acontece com frequência.
Eu gostaria de descobrir o que muda o sysfs para ler apenas, mas de alguma forma lutando com um método apropriado. Pelo que eu me lembro, inotifywait ou inotifywatch mostrará apenas que algo mudou em relação a um determinado inode, mas não qual processo desencadeou isso.
Talvez auditd possa ajudar, embora não tenha certeza de como para restringir o syscalls de uma forma viável, pois isso não é um sistema de arquivos real. A adição de uma regra que observa os mount e unmount syscalls em / sys será suficiente para detectar uma alteração no sysfs? Por exemplo. assim:
auditctl -a always,exit -F path=/sys -S mount -S umount
Além disso, se qualquer outra ferramenta for mais apropriada, ou quaisquer indicadores de onde esse problema possa vir seriam muito apreciados.
Tags mount sysfs rhel linux-audit