Кто изменил права доступа к этому файлу сокета?

У меня есть разные встроенные системы Linux, где c-icap и squid работают вместе. Только на некоторых из них у меня есть эта проблема, где /var/run/c-icap/c-icap.ctl права доступа изменяются на root: root вместо icap: icap

Если файл удален и процесс (icap) перезапущен, файл будет создан с правильными разрешениями (icap: icap) соответственно.

CommandsSocket /var/run/c-icap/c-icap.ctl

Это строка из c-icap.conf, которая создает файл сокета.

Как вы уже поняли, я пытаюсь найти, какой процесс / функция изменяет права доступа к c-icap.ctl?

Или лучше перефразировать, как я могу найти тот конкретный случай, когда c-icap вызывается root и создать файл сокета с его собственными разрешениями?

Я вижу это как единственные варианты, так как при поиске c-icap.ctl я не вижу файл, указанный в другом месте, включая init.d.

ПРИМЕЧАНИЕ: в системе отсутствуют инструменты мониторинга (целостность файлов, auditd и т. Д.), И я не могу установить / изменить систему (включая инструменты python). Какой-то сценарий оболочки / трюк будет оставшимся решением.