通过“查找进程运行目录”面试题的背后对Linux系统深入的理解（ps,netstat,/porc目录,/目录系统）

1，ps命令简析

2，netstat命令简析

3，/proc 目录简析

4，/ 目录系统简析

5，如何查找进程的运行目录

 

壹   ps命令简析

Linux中的ps命令是Process Status的缩写。ps命令用来列出系统中当前运行的那些进程。ps命令列出的是当前那些进程的快照，就是执行ps命令的那个时刻的那些进程，如果想要动态的显示进程信息，就可以使用top命令。

ps命令参数一览：

• a  显示所有进程
• -a 显示同一终端下的所有程序
• -A 显示所有进程
• c  显示进程的真实名称
• -N 反向选择
• -e 等于“-A”
• e  显示环境变量
• f  显示程序间的关系
• -H 显示树状结构
• r  显示当前终端的进程
• T  显示当前终端的所有程序
• u  指定用户的所有进程
• -au 显示较详细的资讯
• -aux 显示所有包含其他使用者的行程 
• -C<命令> 列出指定命令的状况
• --lines<行数> 每页显示的行数
• --width<字符数> 每页显示的字符数
• --help 显示帮助信息
• --version 显示版本显示

ps常用命令组合：

显示指定用户信息

ps -u root

显示所有进程信息，连同筛选

ps -ef | grep xxx

列出目前所有的正在内存当中的程序（最常用最全面）

ps -aux

说明：

USER：该 process 属于那个使用者账号的

PID ：该 process 的号码

%CPU：该 process 使用掉的 CPU 资源百分比

%MEM：该 process 所占用的物理内存百分比

VSZ ：该 process 使用掉的虚拟内存量 (Kbytes)

RSS ：该 process 占用的固定的内存量 (Kbytes)

TTY ：该 process 是在那个终端机上面运作，若与终端机无关，则显示 ?，另外， tty1-tty6 是本机上面的登入者程序，若为 pts/0 等等的，则表示为由网络连接进主机的程序。

STAT：该程序目前的状态，主要的状态有

R ：该程序目前正在运作，或者是可被运作

S ：该程序目前正在睡眠当中 (可说是 idle 状态)，但可被某些讯号 (signal) 唤醒。

T ：该程序目前正在侦测或者是停止了

Z ：该程序应该已经终止，但是其父程序却无法正常的终止他，造成 zombie (疆尸) 程序的状态

START：该 process 被触发启动的时间

TIME ：该 process 实际使用 CPU 运作的时间

 

 

 

贰   netstat命令简析

Netstat是控制台命令,是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

netstat命令参数一览：

-a (all) 显示所有选项，默认不显示LISTEN相关。
-t (tcp) 仅显示tcp相关选项。
-u (udp) 仅显示udp相关选项。
-n 拒绝显示别名，能显示数字的全部转化成数字。
-l 仅列出有在 Listen (监听) 的服务状态。

-p 显示建立相关链接的程序名
-r 显示路由信息，路由表
-e 显示扩展信息，例如uid等
-s 按各个协议进行统计
-c 每隔一个固定时间，执行该netstat命令。

netstat常用命令组合：

列出所有端口

netstat -a

只显示监听端口

netstat -l

显示所有端口的统计信息

netstat -s

输出中显示 PID 和进程名称

netstat -p

列出当前建立相关连接的程序名（最全面）

netstat -anp

 

 

 

叁   /proc 目录简析

proc被称为虚拟文件系统，它是一个控制中心，可以通过更改其中某些文件改变内核运行状态，它也是内核提空给我们的查询中心，用户可以通过它查看系统硬件及当前运行的进程信息，Linux中许多工具的数据来源正是proc目录中的内容；

其中/proc目录下所有带有数字的子目录，都是其数字对应的PID的内容信息：

 

/proc目录下常用文件介绍：

• /proc/loadavg      前三列分别保存最近1分钟，5分钟，及15分钟的平均负载。
• /proc/meminfo    当前内存使用信息
• /proc/diskstats    磁盘I/O统计信息列表
• /proc/filesystems  支持的文件系统
• /proc/cpuinfo        CPU的详细信息
• /proc/cmdline      启动时传递至内核的启动参数，通常由grub进行传递
• /proc/mounts     系统当前挂在的文件系统
• /proc/uptime    系统运行时间
• /poc/version     当前运行的内核版本号等信息
• /proc/sys          系统信息和内核参数
• /proc/net         网卡设备信息
• /proc/scsi         SCSI设备信息
• /proc/devices    已经加载的设备并分类
• /proc/modules  所有加载到内核的模块列表

/proc/PID目录下常用文件介绍：

• /proc/[pid]/cwd       是进程当前工作目录的符号链接。
• /proc/[pid]/comm    包含进程的命令名。
• /proc/[pid]/exe        为实际运行程序的符号链接（程序位置）。
• proc/[pid]/fd            是一个目录，包含进程打开文件的情况。
• /proc/[pid]/root        是进程根目录的符号链接。
• /proc/[pid]/statm      显示进程所占用内存大小的统计信息。
• /proc/[pid]/status      包含进程的状态信息。

 

 

 

肆   / 目录系统简析

• /bin：
  bin是Binary的缩写, 这个目录存放着最经常使用的命令。

• /boot：
  这里存放的是启动Linux时使用的一些核心文件，包括一些连接文件以及镜像文件。

• /dev ：
  dev是Device(设备)的缩写, 该目录下存放的是Linux的外部设备，在Linux中访问设备的方式和访问文件的方式是相同的。

• /etc：
  这个目录用来存放所有的系统管理所需要的配置文件和子目录。

• /home：
  用户的主目录，在Linux中，每个用户都有一个自己的目录，一般该目录名是以用户的账号命名的。

• /lib：
  这个目录里存放着系统最基本的动态连接共享库，其作用类似于Windows里的DLL文件。几乎所有的应用程序都需要用到这些共享库。

• /lost+found：
  这个目录一般情况下是空的，当系统非法关机后，这里就存放了一些文件。

• /media：
  linux系统会自动识别一些设备，例如U盘、光驱等等，当识别后，linux会把识别的设备挂载到这个目录下。

• /mnt：
  系统提供该目录是为了让用户临时挂载别的文件系统的，我们可以将光驱挂载在/mnt/上，然后进入该目录就可以查看光驱里的内容了。

• /opt：
   这是给主机额外安装软件所摆放的目录。比如你安装一个ORACLE数据库则就可以放到这个目录下。默认是空的。

• /proc：
  这个目录是一个虚拟的目录，它是系统内存的映射，我们可以通过直接访问这个目录来获取系统信息。
  这个目录的内容不在硬盘上而是在内存里，我们也可以直接修改里面的某些文件

  • 比如可以通过下面的命令来屏蔽主机的ping命令，使别人无法ping你的机器：

    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

• /root：
  该目录为系统管理员，也称作超级权限者的用户主目录。

• /sbin：
  s就是Super User的意思，这里存放的是系统管理员使用的系统管理程序。

• /selinux：
   这个目录是Redhat/CentOS所特有的目录，Selinux是一个安全机制，类似于windows的防火墙，但是这套机制比较复杂，这个目录就是存放selinux相关的文件的。

• /srv：
   该目录存放一些服务启动之后需要提取的数据。

• /sys：

  这是linux2.6内核的一个很大的变化。该目录下安装了2.6内核中新出现的一个文件系统 sysfs 。

  sysfs文件系统集成了下面3种文件系统的信息：针对进程信息的proc文件系统、针对设备的devfs文件系统以及针对伪终端的devpts文件系统。

  该文件系统是内核设备树的一个直观反映。

  当一个内核对象被创建的时候，对应的文件和目录也在内核对象子系统中被创建。

• /tmp：
  这个目录是用来存放一些临时文件的。

• /usr：
   这是一个非常重要的目录，用户的很多应用程序和文件都放在这个目录下，类似于windows下的program files目录。

• /usr/bin：
  系统用户使用的应用程序。

• /usr/sbin：
  超级用户使用的比较高级的管理程序和系统守护程序。

• /usr/src：
  内核源代码默认的放置目录。

• /var：
  这个目录中存放着在不断扩充着的东西，我们习惯将那些经常被修改的目录放在这个目录下。包括各种日志文件。

• /run：
  是一个临时文件系统，存储系统启动以来的信息。当系统重启时，这个目录下的文件应该被删掉或清除。如果你的系统上有 /var/run 目录，应该让它指向 run。

 

 

 

 

伍   如何查找进程的运行目录

假如这个时候一个叫做Nessus的软件挂掉了，又在后台kill他的PID无法关闭，需要找到他的软件位置或者是运行目录：

方法一：

找到他的PID

直接去/proc/1633 目录下查看相关信息：

这就是他的运行文件

 

方法二：

它所运行的端口与PID，前往/proc下查看就好了

 

 

 

 

陆   端口与进程号PID，程序名称相互寻找

已知端口：

netstat -anp | grep :port

已知PID：

ps -aux | grep PID

已知程序名称：

ps -aux | grep NAME

 

 

这一次的学习大大加强了我对Linux系统运行院里的了解，以及Linux系统“一切皆文件”的特性

 

 

人外有人，天外有天