lsof(list open files)是乙個列出當前系統開啟檔案的工具。在linux環境下,任何事物都以檔案的形式存在,通過檔案不僅僅可以訪問常規資料,還可以訪問網路連線和硬體。
在終端下輸入lsof即可顯示系統開啟的檔案,因為 lsof 需要訪問核心記憶體和各種檔案,所以必須以 root 使用者的身份執行它才能夠充分地發揮其功能。
每行顯示乙個開啟的檔案,若不指定條件預設將顯示所有程序開啟的所有檔案。lsof輸出各列資訊的意義如下:
command:程序的名稱
pid:程序識別符號
user:程序所有者
fd:檔案描述符,應用程式通過檔案描述符識別該檔案。如cwd、txt等
type:檔案型別,如dir、reg等
device:指定磁碟的名稱
size:檔案的大小
node:索引節點(檔案在磁碟上的標識)
name:開啟檔案的確切名稱
其中fd 列中的檔案描述符cwd 值表示應用程式的當前工作目錄,這是該應用程式啟動的目錄,除非它本身對這個目錄進行更改。txt 型別的檔案是程式**,如應用程式二進位制檔案本身或共享庫,如上列表中顯示的 /sbin/init 程式。其次數值表示應用程式的檔案描述符,這是開啟該檔案時返回的乙個整數。如上的最後一行檔案/dev/initctl,其檔案描述符為10。u 表示該檔案被開啟並處於讀取/寫入模式,而不是唯讀 ? 或只寫 (w) 模式。同時還有大寫 的w 表示該應用程式具有對整個檔案的寫鎖。該檔案描述符用於確保每次只能開啟乙個應用程式例項。初始開啟每個應用程式時,都具有三個檔案描述符,從 0 到 2,分別表示標準輸入、輸出和錯誤流。所以大多數應用程式所開啟的檔案的 fd 都是從 3 開始。與 fd 列相比,type 列則比較直觀。檔案和目錄分別稱為 reg 和 dir。而chr 和 blk,分別表示字元和塊裝置;或者 unix、fifo 和 ipv4,分別表示 unix 域套接字、先進先出 (fifo) 佇列和網際協議 (ip) 套接字。
lsof 常見的用法是查詢應用程式開啟的檔案的名稱和數目。可用於查詢出某個特定應用程式將日誌資料記錄到何處,或者正在跟蹤某個問題。例如,linux限制了程序能夠開啟檔案的數目。通常這個數值很大,所以不會產生問題,並且在需要時,應用程式可以請求更大的值(直到某個上限)。如果你懷疑應用程式耗盡了檔案描述符,那麼可以使用 lsof 統計開啟的檔案數目,以進行驗證。
lsof語法格式是:
常用的引數列表:
lsof filename 顯示開啟指定檔案的所有程序
lsof -a 表示兩個引數都必須滿足時才顯示結果
lsof -c string 顯示command列中包含指定字元的程序所有開啟的檔案
lsof -u username 顯示所屬user程序開啟的檔案
lsof -g gid 顯示歸屬gid的程序情況
lsof +d /dir/ 顯示目錄下被程序開啟的檔案
lsof +d /dir/ 同上,但是會搜尋目錄下的所有目錄,時間相對較長
lsof -d fd 顯示指定檔案描述符的程序
lsof -n 不將ip轉換為hostname,預設是不加上-n引數
lsof -i 用以顯示符合條件的程序情況
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> ipv4 or ipv6
protocol --> tcp or udp
hostname --> internet host name
hostaddr --> ipv4位址
service --> /etc/service中的 service name (可以不只乙個)
port --> 埠號 (可以不只乙個)
例如: 檢視22埠現在執行的情況
檢視所屬root使用者程序所開啟的檔案型別為txt的檔案:
lsof使用例項
一、查詢誰在使用檔案系統
在解除安裝檔案系統時,如果該檔案系統中有任何開啟的檔案,操作通常將會失敗。那麼通過lsof可以找出那些程序在使用當前要解除安裝的檔案系統,如下:
在這個示例中,使用者root正在其/gtes11目錄中進行一些操作。乙個 bash是例項正在執行,並且它當前的目錄為/gtes11,另乙個則顯示的是vim正在編輯/gtes11下的檔案。要成功地載/gtes11,應該在通知使用者以確保情況正常之後,中止這些程序。 這個示例說明了應用程式的當前工作目錄非常重要,因為它仍保持著檔案資源,並且可以防止檔案系統被解除安裝。這就是為什麼大部分守護程序(後台程序)將它們的目錄更改為根目錄、或服務特定的目錄(如 sendmail 示例中的 /var/spool/mqueue)的原因,以避免該守護程序阻止解除安裝不相關的檔案系統。
二、恢復刪除的檔案
當linux計算機受到入侵時,常見的情況是日誌檔案被刪除,以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的檔案,比如在清理舊日誌時,意外地刪除了資料庫的活動事務日誌。有時可以通過lsof來恢復這些檔案。
當程序開啟了某個檔案時,只要該程序保持開啟該檔案,即使將其刪除,它依然存在於磁碟中。這意味著,程序並不知道檔案已經被刪除,它仍然可以向開啟該檔案時提供給它的檔案描述符進行讀取和寫入。除了該程序之外,這個檔案是不可見的,因為已經刪除了其相應的目錄索引節點。
Linux Lsof命令詳解
一般root使用者才能執行lsof命令,普通使用者可以看見 usr sbin lsof命令,但是普通使用者執行會顯示 permission denied 我總結一下lsof指令的用法 lsof abc.txt 顯示開啟檔案abc.txt的程序 lsof i 22 知道22埠現在執行什麼程式 lsof...
linux lsof命令詳解
lsof list open files 是乙個列出當前系統開啟檔案的工具。在linux環境下,任何事物都以檔案的形式存在,通過檔案不僅僅可以訪問常規資料,還可以訪問網路連線和硬體。所以如傳輸控制協議 tcp 和使用者資料報協議 udp 套接字等,系統在後台都為該應用程式分配了乙個檔案描述符,無論這...
Linux lsof命令詳解
lsof命令簡介 lsof list open files 是乙個列出當前系統開啟檔案的工具。在linux環境下,任何事物都以檔案的形式存在,通過檔案不僅僅可以訪問常規資料,還可以訪問網路連線和硬體。所以,lsof的功能很強大。一般root使用者才能執行lsof命令,普通使用者可以看見 usr sb...