lsof · LinuxBook

lsof（list open files）是一個列出當前系統打開文件的工具。在linux環境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規數據，還可以訪問網絡連接和硬件。所以如傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 套接字等，系統在后臺都為該應用程序分配了一個**文件描述符**，無論這個文件的本質如何，該文件描述符為應用程序與基礎操作系統之間的**交互**提供了通用接口。因為應用程序打開文件的描述符列表提供了大量關于這個應用程序本身的信息，因此通過lsof工具能夠查看這個列表對系統監測以及排錯將是很有幫助的。 ## 命令格式 ~~~ lsof [參數][文件] ~~~ ## 命令功能用于查看進程開打的文件，打開文件的進程，進程打開的端口(TCP、UDP)。找回/恢復刪除的文件。是十分方便的系統監視工具，因為 lsof 需要訪問核心內存和各種文件，所以需要**root**用戶執行。 ### lsof打開的文件可以是 >[info] 普通文件目錄網絡文件系統的文件字符或設備文件 (函數)共享庫管道，命名管道符號鏈接網絡文件（例如：NFS file、網絡socket，unix域名socket） ### 命令參數 ~~~ -a 列出打開文件存在的進程 -c <進程名> 列出指定進程所打開的文件 -g 列出GID號進程詳情 -d <文件號> 列出占用該文件號的進程 +d <目錄> 列出目錄下被打開的文件 +D <目錄> 遞歸列出目錄下被打開的文件 -n <目錄> 列出使用NFS的文件 -i <條件> 列出符合條件的進程。（4、6、tcp/udp、:port、 @ip ） -p <進程號> 列出指定進程號所打開的文件 -u 列出UID號進程詳情 -h 顯示幫助信息 -v 顯示版本信息 ~~~ ### lsof輸出各列信息的意義如下 * COMMAND：進程的名稱 * PID：進程標識符 * USER：進程所有者 * FD：文件描述符**File Description**，應用程序通過文件描述符識別該文件。如cwd、txt等 * cwd 值表示應用程序的當前工作目錄，這是該應用**程序啟動的目錄**，除非它本身對這個目錄進行更改 * txt 類型的文件是程序代碼，如應用程序**二進制文件本身**或**共享庫**，如上列表中顯示的 /sbin/init 程序。 * u 表示該文件被打開并處于讀取/寫入模式，而不是只讀 r或只寫 w 模式。 * W 表示該應用程序具有對整個文件的寫鎖。該文件描述符用于確保每次只能打開一個應用程序實例。初始打開每個應用程序時，都具有三個文件描述符，從 0 到 2，分別表示標準輸入、輸出和錯誤流。所以大多數應用程序所打開的文件的 FD 都是從 3 開始。其次數值表示應用程序的文件描述符，這是打開該文件時返回的一個整數。 * TYPE：文件類型 REG 和 DIR表示，文件和目錄。 CHR 和 BLK，分別表示字符和塊設備；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進先出 (FIFO) 隊列和網際協議 (IP) 套接字。 * DEVICE：指定磁盤的名稱 * SIZE：文件的大小 * NODE：索引節點（文件在磁盤上的標識） * NAME：打開文件的確切名稱 ### 查找誰在使用文件系統在卸載文件系統時，如果該文件系統中有任何打開的文件，操作通常將會失敗。那么通過lsof可以找出那些進程在使用當前要卸載的文件系統，如下： ~~~ # lsof /GTES11/ COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME bash 4208 root cwd DIR 3,1 4096 2 /GTES11/ vim 4230 root cwd DIR 3,1 4096 2 /GTES11/ ~~~ 在這個示例中，用戶root正在其/GTES11目錄中進行一些操作。一個 bash是實例正在運行，并且它當前的目錄為/GTES11，另一個則顯示的是vim正在編輯/GTES11下的文件。要成功地卸載/GTES11，應該在通知用戶以確保情況正常之后，中止這些進程。這個示例說明了應用程序的當前工作目錄非常重要，因為它仍保持著文件資源，并且可以防止文件系統被卸載。這就是為什么大部分守護進程（后臺進程）將它們的目錄更改為根目錄、或服務特定的目錄（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免該守護進程阻止卸載不相關的文件系統。 ### 恢復刪除的文件當Linux計算機受到入侵時，常見的情況是日志文件被刪除，以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的文件，比如在清理舊日志時，意外地刪除了數據庫的活動事務日志。有時可以通過lsof來恢復這些文件。當進程打開了某個文件時，只要該進程保持打開該文件，即使將其刪除，它依然存在于磁盤中。這意味著，進程并不知道文件已經被刪除，它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外，這個文件是不可見的，因為已經刪除了其相應的目錄索引節點。在/proc 目錄下，其中包含了反映內核和進程樹的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域，所以這些文件和目錄并不存在于磁盤中，因此當我們對這些文件進行讀取和寫入時，實際上是在從內存中獲取相關信息。大多數與 lsof 相關的信息都存儲于以進程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進程的信息。每個進程目錄中存在著各種文件，它們可以使得應用程序簡單地了解進程的內存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統信息。 lsof 程序使用該信息和其他關于內核內部狀態的信息來產生其輸出。所以lsof 可以顯示進程的文件描述符和相關的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關信息。當系統中的某個文件被意外地刪除了，只要這個時候系統中還有進程正在訪問該文件，那么我們就可以通過lsof從/proc目錄下恢復該文件的內容。假如由于誤操作將/var/log/messages文件刪除掉了，那么這時要將/var/log/messages文件恢復的方法如下： ## 首先使用lsof來查看當前是否有進程打開/var/logmessages文件 ~~~ # lsof |grep /var/log/messages syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted) ~~~ 從上面的信息可以看到 PID 1283（syslogd）打開文件的文件描述符為 2。同時還可以看到/var/log/messages已經標記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個以數字命名的文件表示進程對應的文件描述符）中查看相應的信息，如下：從上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢復的數據。如果可以通過文件描述符查看相應的數據，那么就可以使用 I/O 重定向將其復制到文件中，如: ~~~ cat /proc/1283/fd/2 > /var/log/messages ~~~ 對于許多應用程序，尤其是日志文件和數據庫，這種恢復刪除文件的方法非常有用。 ### 實用命令 ~~~ lsof `which httpd` //那個進程在使用apache的可執行文件 lsof /etc/passwd //那個進程在占用/etc/passwd lsof /dev/hda6 //那個進程在占用hda6 lsof -c sendmail //查看sendmail進程的文件使用情況 lsof -c courier -u ^zahn //顯示出那些文件被以courier打頭的進程打開，但是并不屬于用戶zahn lsof -p 30297 //顯示那些文件被pid為30297的進程打開 lsof -D /tmp //顯示所有在/tmp文件夾中打開的instance和文件的進程。但是symbol文件并不在列 lsof -u1000 //查看uid是100的用戶的進程的文件使用情況 lsof -u tony //查看用戶tony的進程的文件使用情況 lsof -u ^tony //查看不是用戶tony的進程的文件使用情況(^是取反的意思) lsof -i //顯示所有打開的端口 lsof -i:80 //顯示所有打開80端口的進程 lsof -i -U //顯示所有打開的端口和UNIX domain文件 lsof -i UDP@www.akadia.com:123 //顯示那些進程打開了到www.akadia.com的UDP的123(ntp)端口的鏈接 lsof -i tcp@ohaha.ks.edu.tw:ftp -r //不斷查看目前ftp連接的情況(-r，lsof會永遠不斷的執行，直到收到中斷信號,+r，lsof會一直執行，直到沒有檔案被顯示,缺省是15s刷新) lsof -i tcp@ohaha.ks.edu.tw:ftp -n //lsof -n 不將IP轉換為hostname，缺省是不加上-n參數 ~~~