Encontrando os processos tentando abrir algum FIFO

Como você sugeriu, o desafio que você vê é que a open()chamada não foi concluída; está bloqueando a espera de um escritor abrir. Como o pipe ainda não está aberto, ele não será exibido in fuserou lsofou in /proc/<pid>/fd; nenhum identificador de arquivo foi associado a ele!

Podemos ver quais processos estão aguardando a abertura de um pipe; por exemplo

% grep pipe_wait /proc/*/stack
/proc/12104/stack:[<ffffffffa1665520>] pipe_wait+0x70/0xc0

Portanto, podemos ver que o PID 12104 está aguardando um cano, mas isso não nos diz qual cano. Mas podemos potencialmente usar essas informações e as timeout straceque você já viu...

por exemplo

#!/bin/bash

want=/tmp/testpipe

cd /proc || exit

grep pipe_wait */stack | cut -d/ -f1 | while read -r p
do
  x=$(timeout 0.2 strace -p $p 2>&1)
  if [ -n "$(echo "$x" | grep $want)" ]
  then
    echo "Process $p is trying to open $want"
    ps -p "$p"
  fi
done

Isso resulta em uma saída semelhante a

Process 12104 is trying to open /tmp/testpipe
  PID TTY          TIME CMD
12104 pts/1    00:00:00 wc

Supondo que o Linux esteja aqui devido ao aparecimento do strace. Você não especificou, no entanto. Mecanismos semelhantes também existem para sistemas *BSD.

Parece-me que você precisaria se conectar a todas openas chamadas e atender aquelas que abrem seu caminho. Você pode fazer isso, com sobrecarga relativamente baixa, usando o ebpf. O bpftoolspacote ship bpftrace, que pode interpretar scripts que fazem isso.

Na verdade, se você instalar bpftraceem seu sistema, provavelmente encontrará um diretório /usr/share/bpftrace/tools cheio de exemplos. Você pode simplesmente fugir opensnoopdisso!