Linux命令神器:lsof入门

最新推荐文章于 2023-06-07 11:17:08 发布
最新推荐文章于 2023-06-07 11:17:08 发布
阅读量942 收藏
点赞数
分类专栏: Linux mannual

lsof是系统管理/安全的尤伯工具。我大多数时候用它来从系统获得与网络连接相关的信息,但那只是这个强大而又鲜为人知的应用的第一步。将这个工具称之为lsof真是名副其实,因为它是指“列出打开文件(lists openfiles)”。而有一点要切记,在Unix中一切(包括网络套接口)都是文件。

有趣的是,lsof也是有着最多开关的Linux/Unix命令之一。它有那么多的开关,它有许多选项支持使用-和+前缀。

 
 
  1. usage: [-?abhlnNoOPRstUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]] 
  2.  [-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+|-M] [-o [o]] 
  3.  [-p s] [+|-r [t]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names] 

正如你所见,lsof有着实在是令人惊讶的选项数量。你可以使用它来获得你系统上设备的信息,你能通过它了解到指定的用户在指定的地点正在碰什么东西,或者甚至是一个进程正在使用什么文件或网络连接。

对于我,lsof替代了netstat和ps的全部工作。它可以带来那些工具所能带来的一切,而且要比那些工具多得多。那么,让我们来看看它的一些基本能力吧:

关键选项

理解一些关于lsof如何工作的关键性东西是很重要的。最重要的是,当你给它传递选项时,默认行为是对结果进行“或”运算。因此,如果你正是用-i来拉出一个端口列表,同时又用-p来拉出一个进程列表,那么默认情况下你会获得两者的结果。

下面的一些其它东西需要牢记:

  • 默认 : 没有选项,lsof列出活跃进程的所有打开文件
  • 组合 : 可以将选项组合到一起,如-abc,但要当心哪些选项需要参数
  • -a : 结果进行“与”运算(而不是“或”)
  • -l : 在输出显示用户ID而不是用户名
  • -h : 获得帮助
  • -t : 仅获取进程ID
  • -U : 获取UNIX套接口地址
  • -F : 格式化输出结果,用于其它命令。可以通过多种方式格式化,如-F pcfn(用于进程id、命令名、文件描述符、文件名,并以空终止)

获取网络信息

正如我所说的,我主要将lsof用于获取关于系统怎么和网络交互的信息。这里提供了关于此信息的一些主题:

使用-i显示所有连接

有些人喜欢用netstat来获取网络连接,但是我更喜欢使用lsof来进行此项工作。结果以对我来说很直观的方式呈现,我仅仅只需改变我的语法,就可以通过同样的命令来获取更多信息。

 
 
  1. # lsof -i 
  2.  
  3. COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME 
  4. dhcpcd 6061 root 4u IPv4 4510 UDP *:bootpc 
  5. sshd 7703 root 3u IPv6  6499 TCP *:ssh (LISTEN) 
  6. sshd 7892 root 3u IPv6  6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED) 
使用-i 6仅获取IPv6流量
 
 
  1. # lsof -i 6 
仅显示TCP连接(同理可获得UDP连接)

你也可以通过在-i后提供对应的协议来仅仅显示TCP或者UDP连接信息。

 
 
  1. # lsof -iTCP 
  2.  
  3. COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME 
  4. sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN) 
  5. sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED) 
使用-i:port来显示与指定端口相关的网络信息

或者,你也可以通过端口搜索,这对于要找出什么阻止了另外一个应用绑定到指定端口实在是太棒了。

 
 
  1. # lsof -i :22 
  2.  
  3. COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME 
  4. sshd 7703 root 3u  IPv6 6499 TCP *:ssh (LISTEN) 
  5. sshd 7892 root 3u  IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED) 
使用@host来显示指定到指定主机的连接

这对于你在检查是否开放连接到网络中或互联网上某个指定主机的连接时十分有用。

 
 
  1. # lsof -i@172.16.12.5 
  2.  
  3. sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED) 
使用@host:port显示基于主机与端口的连接

你也可以组合主机与端口的显示信息。

 
 
  1. # lsof -i@172.16.12.5:22 
  2.  
  3. sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED) 
找出监听端口

找出正等候连接的端口。

 
 
  1. # lsof -i -sTCP:LISTEN 

你也可以grep “LISTEN”来完成该任务。

 
 
  1. # lsof -i | grep -i LISTEN 
  2.  
  3. iTunes     400 daniel   16u  IPv4 0x4575228  0t0 TCP *:daap (LISTEN) 
找出已建立的连接

你也可以显示任何已经连接的连接。

 
 
  1. # lsof -i -sTCP:ESTABLISHED 

你也可以通过grep搜索“ESTABLISHED”来完成该任务。

 
 
  1. # lsof -i | grep -i ESTABLISHED 
  2.  
  3. firefox-b 169 daniel  49u IPv4 0t0 TCP 1.2.3.3:1863->1.2.3.4:http (ESTABLISHED) 

用户信息

你也可以获取各种用户的信息,以及它们在系统上正干着的事情,包括它们的网络活动、对文件的操作等。

使用-u显示指定用户打开了什么
 
 
  1. # lsof -u daniel 
  2.  
  3. -- snipped -- 
  4. Dock 155 daniel  txt REG   14,2   2798436   823208 /usr/lib/libicucore.A.dylib 
  5. Dock 155 daniel  txt REG   14,2   1580212   823126 /usr/lib/libobjc.A.dylib 
  6. Dock 155 daniel  txt REG   14,2   2934184   823498 /usr/lib/libstdc++.6.0.4.dylib 
  7. Dock 155 daniel  txt REG   14,2    132008   823505 /usr/lib/libgcc_s.1.dylib 
  8. Dock 155 daniel  txt REG   14,2    212160   823214 /usr/lib/libauto.dylib 
  9. -- snipped -- 
使用-u user来显示除指定用户以外的其它所有用户所做的事情
 
 
  1. # lsof -u ^daniel 
  2.  
  3. -- snipped -- 
  4. Dock 155 jim  txt REG   14,2   2798436   823208 /usr/lib/libicucore.A.dylib 
  5. Dock 155 jim  txt REG   14,2   1580212   823126 /usr/lib/libobjc.A.dylib 
  6. Dock 155 jim  txt REG   14,2   2934184   823498 /usr/lib/libstdc++.6.0.4.dylib 
  7. Dock 155 jim  txt REG   14,2    132008   823505 /usr/lib/libgcc_s.1.dylib 
  8. Dock 155 jim  txt REG   14,2    212160   823214 /usr/lib/libauto.dylib 
  9. -- snipped -- 
杀死指定用户所做的一切事情

可以消灭指定用户运行的所有东西,这真不错。

 
 
  1. # kill -9 `lsof -t -u daniel` 

命令和进程

可以查看指定程序或进程由什么启动,这通常会很有用,而你可以使用lsof通过名称或进程ID过滤来完成这个任务。下面列出了一些选项:

使用-c查看指定的命令正在使用的文件和网络连接
 
 
  1. # lsof -c syslog-ng 
  2.  
  3. COMMAND    PID USER   FD   TYPE     DEVICE    SIZE       NODE NAME 
  4. syslog-ng 7547 root  cwd    DIR    3,3    4096   2 / 
  5. syslog-ng 7547 root  rtd    DIR    3,3    4096   2 / 
  6. syslog-ng 7547 root  txt    REG    3,3  113524  1064970 /usr/sbin/syslog-ng 
  7. -- snipped -- 
使用-p查看指定进程ID已打开的内容
 
 
  1. # lsof -p 10075 
  2.  
  3. -- snipped -- 
  4. sshd    10068 root  mem    REG    3,3   34808 850407 /lib/libnss_files-2.4.so 
  5. sshd    10068 root  mem    REG    3,3   34924 850409 /lib/libnss_nis-2.4.so 
  6. sshd    10068 root  mem    REG    3,3   26596 850405 /lib/libnss_compat-2.4.so 
  7. sshd    10068 root  mem    REG    3,3  200152 509940 /usr/lib/libssl.so.0.9.7 
  8. sshd    10068 root  mem    REG    3,3   46216 510014 /usr/lib/liblber-2.3 
  9. sshd    10068 root  mem    REG    3,3   59868 850413 /lib/libresolv-2.4.so 
  10. sshd    10068 root  mem    REG    3,3 1197180 850396 /lib/libc-2.4.so 
  11. sshd    10068 root  mem    REG    3,3   22168 850398 /lib/libcrypt-2.4.so 
  12. sshd    10068 root  mem    REG    3,3   72784 850404 /lib/libnsl-2.4.so 
  13. sshd    10068 root  mem    REG    3,3   70632 850417 /lib/libz.so.1.2.3 
  14. sshd    10068 root  mem    REG    3,3    9992 850416 /lib/libutil-2.4.so 
  15. -- snipped -- 
-t选项只返回PID
 
 
  1. # lsof -t -c Mail 
  2.  
  3. 350 

文件和目录

通过查看指定文件或目录,你可以看到系统上所有正与其交互的资源——包括用户、进程等。

显示与指定目录交互的所有一切
 
 
  1. # lsof /var/log/messages/ 
  2.  
  3. COMMAND    PID USER   FD   TYPE DEVICE   SIZE   NODE NAME 
  4. syslog-ng 7547 root    4w   REG    3,3 217309 834024 /var/log/messages 

显示与指定文件交互的所有一切

 
 
  1. # lsof /home/daniel/firewall_whitelist.txt 

高级用法

tcpdump类似,当你开始组合查询时,它就显示了它强大的功能。

显示daniel连接到1.1.1.1所做的一切
 
 
  1. # lsof -u daniel -i @1.1.1.1 
  2.  
  3. bkdr   1893 daniel 3u  IPv6 3456 TCP 10.10.1.10:1234->1.1.1.1:31337 (ESTABLISHED) 
同时使用-t和-c选项以给进程发送 HUP 信号
 
 
  1. # kill -HUP `lsof -t -c sshd` 
lsof +L1显示所有打开的链接数小于1的文件

这通常(当不总是)表示某个攻击者正尝试通过删除文件入口来隐藏文件内容。

 
 
  1. # lsof +L1 
  2.  
  3. (hopefully nothing) 
显示某个端口范围的打开的连接
 
 
  1. # lsof -i @fw.google.com:2150=2180 

结尾

本入门教程只是管窥了lsof功能的一斑,要查看完整参考,运行man lsof命令或查看在线版本。希望本文对你有所助益,也随时欢迎你的评论和指正

资源

远有青山
关注
专栏目录
lsof使用实例
破茧
12-08 478
lsof使用实例 查找谁在使用文件系统 在卸载文件系统时,如果该文件系统中有任何打开的文件,操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统,如下: # lsof /GTES11/ COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME bash 4208 root cwd DIR 3,1 4096 2 /GTES11/ vim...
Linux 命令神器lsof 入门
NowOrNever
12-19 5854
lsof是系统管理/安全的尤伯工具。我大多数时候用它来从系统获得与网络连接相关的信息,但那只是这个强大而又鲜为人知的应用的第一步。将这个工具称之为lsof真实名副其实,因为它是指“列出打开文件(lists openfiles)”。而有一点要切记,在Unix中一切(包括网络套接口)都是文件。
你应该知道的linux命令lsof
fish747的专栏
12-24 1626
linux下有很多好用的命令,今天这里介绍lsof 命令 lsof命令是什么? 可以列出被进程所打开的文件的信息。被打开的文件可以是 1.普通的文件,2.目录  3.网络文件系统的文件,4.字符设备文件  5.(函数)共享库  6.管道,命名管道 7.符号链接 8.底层的socket字流,网络socket,unix域名socket 9.在linux里面,大部分的东西都是被当做文件的...
lsof的使用
qq_32708403的博客
09-09 180
Lsof是遵从Unix哲学的典范,它只完成一个功能,并且做的相当完美——它可以列出某个进程打开的所有文件信息。打开的文件可能是普通的文件、目录、NFS文件、块文件、字符文件、共享库、常规管道、命名管道、符号链接、Socket流、网络Socket、UNIX域Socket,以及其它更多类型。因为“一切皆文件”乃为Unix系统的重要哲学思想之一,因此可以想象lsof命令的重要地位。 lsof [opt...
lsof的用法
多看多听多总结
03-02 849
1、列出所有打开的文件 lsof 2、列出指定用户打开的文件 lsof -u user 其中user表示用户名 3、找到指定端口的进程 lsof -i TCP:port 其中port表示端口号 4、指定ipv4或ipv6打开的文件  lsof -i 4  lsof -i 6 5、列出tcp端口在某个范围打开的文件 lsof -i TCP:po
洞察Linux系统:使用lsof命令探索打开的文件与端口
最新发布
07-11
1. **开源**:Linux的源代码对所有人开放,任何人都可以查看、修改和重新发布。 2. **多用户多任务**:Linux支持多用户同时使用系统,并且可以同时运行多个任务。 3. **稳定性和安全性**:Linux系统以其稳定性和...
linux lsof命令详解及实例
09-15
**Linux lsof命令详解** lsof是一个强大的系统监控工具,它能列出当前系统中所有正在被进程打开的文件。在Linux系统中,一切皆为文件,包括网络连接、硬件设备等。lsof通过文件描述符来跟踪这些资源,帮助用户了解...
linux lsof命令详解.docx
01-03
### Linux lsof 命令详解 #### 一、概述 `lsof`(list open files)是一个强大的命令行工具,用于显示当前系统中所有打开的文件、网络连接和设备的情况。在Linux环境中,几乎所有东西都可以被视为文件,包括常规...
linux命令lsof 查看进程打开那些文件 或者 查看文件给那个进程使用1
08-03
`lsof`(List Open Files)是Linux操作系统中的一个强大工具,用于查看系统中当前打开的文件和它们被哪些进程占用。它可以帮助系统管理员、开发者或者普通用户了解系统资源的使用情况,诊断问题,例如查找哪个进程...
lsof 功能使用详解
weixin_33831196的博客
11-30 1282
1、lsof 简介lsofLinux 下的一个非常实用的系统级的监控、诊断工具。它的意思是 List Open Files,很容易你就记住了它是 “ls + of”的组合~它可以用来列出被各种进程打开的文件信息,记住:linux 下 “一切皆文件”,包括但不限于 pipes, sockets, directories, devices, 等等。因此,使用 lsof,你可...
lsof命令的使用
小小关的博客
01-24 990
lsof是系统管理/安全的管理工具。将这个工具称之为lsof真实名副其实,因为它是指“列出打开文件(lists openfiles)”。而有一点要切记,在Unix中一切(包括网络套接口)都是文件。有趣的是,lsof也是有着最多开关的Linux/Unix命令之一。它有那么多的开关,它有许多选项支持使用-和+前缀。usage: [-?abhlnNoOPRstUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]] [-F [f]] [-g [s]] [-i [i]] ...
lsof命令简单使用
Chaolei3的博客
07-12 1253
lsof 命令常用于查找进程打开了哪些文件以及与打开文件相关联的内容。lsof 列出本机所有的打开的文件 lsof -i :22 查看22端口现在运行什么程序lsof -ilsof -i tcplsof -i udplsof -i :3306lsof -i udp:55lsof -i tcp:80-c string : 输出 COMMAND 列中包含 string 的项: lsof -c mysql-c 选项将会列出所有以mysql开头的程序的文件,其实你也可以写成lsof | grep mysql
lsof如何使用?
m0_57236802的博客
06-07 817
是一个在 Unix, Linux 和 macOS 系统中非常有用的命令,其名称是 “list open files” 的缩写。这个命令用于列出当前系统上所有打开的文件和进程。会访问系统的底层数据,所以通常需要 root 权限才能获取完整的信息。的一些基本用法,它有许多其他的选项和功能,可以查阅。的 man 页面(通过在终端中输入。
lsof命令_lsof 命令使用指南
weixin_39644021的博客
12-04 1835
lsof 简介lsof是list open files的简称。正如名字所示,它的作用主要是列出系统中打开的文件。乍看起来,这是个功能非常简单,使用场景不多的命令,不过是ls的另一个版本。但是因为 unix 系统的everything is a file的哲学,基本上 *nix 系统所有的对象都可以看做对象,再加上这个命令提供的各种参数,使得它其实非常强大,能够轻松地获得很多...
linuxlsof使用
lcyaiym的专栏
08-04 96
欢迎访问我的个人博客网站:http://www.yanmin99.com/ 一、lsof介绍 lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述...
Linux命令神器-Lsof
weixin_34159110的博客
08-19 182
Lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。Lsof是遵从Unix哲学的典范,它只完成一个功能,并且做的相当完美--它可以列出某个进程打开的所有文件信息。打开的文件可能是普通的文件、目录、NFS文件、块文件、字符文件、共享库、常规管道、命名...
Linux系统管理:lsof命令深度解析
"Linux命令lsof详解" lsof(List Open Files)是Linux操作系统中一个强大的工具,用于查看系统中当前打开的文件。它不仅可以显示普通文件,还包括目录、网络套接字、管道、FIFOs等特殊文件。lsof通过检查内核的文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值