Ubuntu下进程管理工具

Ubuntu下进程管理工具

进程管理
一些细节
进程一般分为交互进程、批处理进程和守护进程三类。
守护进程总是活跃，在系统启动时通过脚本自动启动，或由root启动，通常在后台运行。

一个进程可以拥有子进程。当父进程终止时，它的子进程也随之终止；而子进程终止时，父进程通常可以继续运行。
init 进程为根进程，所有进程都是它的子进程
ps
显示进程信息，参数可省略 -
aux 以BSD风格显示进程 常用
-efH 以System V风格显示进程
-e , -A 显示所有进程
a 显示终端上所有用户的进程
x 显示无终端进程
u 显示详细信息
f 树状显示
w 完整显示信息
l 显示长列表
示例：
ps alx 另一种常用输出格式
ps aux | less 将输出通过管道，使用 less 查看
ps aux | grep <关键字> 通过关键字查找进程
输出字段
USER 进程所有者
PID 进程ID
PPID 父进程
%CPU CPU占用率
%MEM 内存占用率
NI 进程优先级。数值越大，占用CPU时间越少
VSZ 进程虚拟大小
RSS 页面文件占用
TTY 终端ID
STAT 进程状态
D 不可中断 Uninterruptible sleep (usually IO)
R 正在运行，或在队列中的进程
S 处于休眠状态
T 停止或被追踪
Z 僵尸进程
W 进入内存交换（从内核2.6开始无效）
X 死掉的进程

< 高优先级
N 低优先级
L 有些页被锁进内存
s 包含子进程
+ 位于后台的进程组；
l 多线程，克隆线程 multi-threaded (using CLONE_THREAD, like NPTL pthreads do)
pstree
树状显示进程信息
-a 显示完整命令及参数
-c 重复进程分别显示
-c 显示进程ID PID
-n 按 PID 排列进程
pgrep <进程名>
显示进程的PID
-l 显示进程名和进程PID
-o 进程起始ID
-n 进程终止ID
xkill
在图形界面中点杀进程。执行此命令后，鼠标指针变为骷髅图案（一定看过《加勒比海盗》吧）。在窗口中点击左键杀死进程，右键取消
pkill <进程名>
结束进程族。如果结束单个进程，请用 kill
kill [信号代码] <进程PID>
根据PID向进程发送信号，常用来结束进程，默认信号为 -9
-l [信号数字] 显示、翻译信号代码
-9 , -KILL 发送 kill 信号退出
-6 , -ABRT 发送 abort 信号退出
-15 , -TERM 发送 Termination 信号
-1 , -HUP 挂起
-2 , -INT 从键盘中断，相当于 Ctrl+c
-3 , -QUIT 从键盘退出，相当于 Ctrl+d
-4 , -ILL 非法指令
-11 , -SEGV 内存错误
-13 , -PIPE 破坏管道
-14 , -ALRM
-STOP 停止进程，但不结束
-CONT 继续运行已停止的进程
-9 -1 结束当前用户的所有进程
renice <优先级表达式> <进程表达式>
重新设定进程优先级（无此必要）
优先级表达式：
+|-|= <nice值>
nice取值范围： -20~19
进程表达式：
-p <PID> 通过进程ID进行设定
-g <PGID> 通过进程群组ID
-u <UID> 通过进程拥有者UID设定
top
动态、交互式进程管理器
-c 显示进程启动状态，包括参数、操作对象等；而不只是进程名
-d <秒> 刷新频率。 -d 5，表示5秒刷新一次
-n <次> 刷新次数，然后退出。 -n 5，表示刷新5次后退出；
-b 以批量模式运行，让输出能够使用管道或重定向。但不能进行交互，最好和 -n <次> 参数一同使用
-i 禁止显示空闲进程或僵尸进程；
-p PID 仅监视指定进程的ID；PID是一个数值；
-s 安全模式运行，禁用一些效互指令；
-S 累积模式，输出每个进程的总的CPU时间，包括已死的子进程；
交互命令：
<space> 立即刷新
k 交互式杀死进程，提示输入进程 PID （默认发送信号15）
r 设定renice，提示输入PID和renice值
s 改变两次刷新时间间隔，以秒为单位
n 设定显示进程数， 0 为不作限制
i 隐藏空闲进程和僵尸进程
S 切换到累积时间模式
l 开关，在顶部显示 uptime 信息
t 开关，在顶部显示 进程和CPU状态
m 开关，在顶部显示 free 信息
c 显示方式切换： 进程名/进程启动状态
A 按进程启动顺序进行排序。由新到旧
M 按内存占用排序。由大到小
N 以进程ID排序。由大到小
P 按CPU占用排序。由大到小
T 按时间／累积时间排序
f ，F 设定显示字段。设定完成后空格退出
o,O 设定显示字段的排序。大写向前移动，小写向后移动，空格退出
h,? 显示有关安全模式和累积模式的帮助信息
W 把当前的配置写到~/.toprc中；
nohup <命令>
将任务提交到后台，输出附加到 ~/nohup.out 文件。即便用户退出登录，提交的命令仍继续执行。
<命令> &
背景执行此命令，如果用户退出登录，则命令停止执行
<命令1> ; <命令2> ; ......
命令队列，从左向右，依次执行以 ; 分隔的命令
<命令1> && <命令2> && ......
命令队列，从左向右，依次执行以 && 分隔的命令。前一个命令执行成功，后一个命令才能执行
<命令> <Ctrl+z>
<Ctrl+z> 挂起当前Shell中的任务
jobs
显示背景任务
bg [任务编号]
将挂起的任务背景执行
fg [任务编号]
将背景任务调到前台执行
计划任务
cron anacron
磁盘和内存管理
一些细节
Linux中，设备用/dev/目录下的文件表示。例如
/dev/hda1 第一块硬盘的第一主分区
/dev/hdb5 第二块硬盘的第一逻辑分区
/dev/sda4 第一块SATA硬盘的第四主分区，或者扩展分区
/dev/null 黑洞设备
关于磁盘设备，详见 分区概念
mount <设备文件> [挂载路径]
挂载文件系统
-t 指定文件系统的类型。通常不必指定，mount自动检测。下面是常用的格式
reiserfs ReiserFS 3.6版
jfs IBM技术
xfs SGI技术(适合高级服务器，桌面用户慎用)
ext3 Linux传统文件系统
vfat fat fat32
ext2 不带日志的ext3
ntfs WINNT
iso9660 光盘
smbfs Windows文件共享
-o [选项1] [选项2] ......
loop 环设备。光盘、ISO镜像等
ro | rw 只读readonly；可读写read-write
sync | async 同步模式|异步模式。决定修改是否立即写入文件系统
atime | noattime 读取时是否修改访问时间。对于写入敏感设备，例如闪存、软盘，建议使用 *noatime*
auto | noauto 自动挂载模式
exec | noexec 是否允许可执行权限
defaults 使用预设的选项 rw, suid, dev, exec, auto, nouser, async
iocharset=UTF-8 指定字符集，可简写为 utf8
codepage=936 指定代码页，可简写为 cp936 西文系统代码页为 437
umask=<权限掩码> 设定权限掩码
uid=<UID> 设定归属用户
gid=<GID> 设定归属群组
remount 以不同选项重新挂载
-L <卷标> 将带有特殊卷标的分区
Tip
权限掩码
权限=777-权限掩码（三位） | 7777-权限掩码（四位）
假如权限掩码为 022 ，则新建对象权限为 755 rwxr-xr-x
可以使用 umask 命令设置权限掩码
mount -a
挂载 /etc/fstab 文件中定义的所有设备
示例：
sudo mount -t iso9660 -o loop /dev/cdrom0 /media/cdrom
sudo mount -t vfat -o remount iocharset=utf8,codepage=cp936 /dev/hda5 /media/hda5
umount <设备文件> | <挂载路径>
卸载已挂载文件系统
df
查看已挂载文件系统的磁盘空间占用
-a 显示所有文件系统的磁盘使用情况，包括0块（block）的文件系统，如/proc文件系统
-T 显示文件系统类型
-k 以k字节为单位显示
-i 显示i节点信息，而不是磁盘块
-t <文件系统类型> 显示指定类型的文件系统的磁盘空间使用情况
-x <文件系统类型> 列出不是某一指定类型文件系统的磁盘空间使用情况（与t选项相反）。
-l 只显示本地文件系统
free
查看内存、缓冲区、交换空间的占用
-b 以字节为单位显示数值
-k 以千字节为单位显示数值
-m 以兆字节为单位显示数值
-g 以吉字节为单位显示数值
-l 显示内存占用峰值
-o 不显示缓冲区占用
-t 统计结果
-s <秒> 刷新频率
sync
同步文件系统。将缓冲区中的数据写入文件系统
fdisk <磁盘设备文件>
分区表修改工具
交互命令：
m 使用帮助
l 查看已知文件系统类型
p 显示分区信息
n 新建分区 （p:主分区 l:扩展分区 参见 分区概念 )
d 删除分区
t 改变分区类型
w 将改动写入分区表
q 放弃改动并退出
* 磁盘设备名称为整块磁盘，而不是磁盘中的分区。例如 /dev/hda ，而不是 /dev/hda1

fdisk -l
查看所有磁盘分区信息
cfdisk
更加友善的分区表修改工具
mkfs.<文件系统类型> <分区设备文件>
将分区格式化为文件系统。 文件系统类型
示例：
sudo mkfs.reiserfs /dev/hda1

mkfs <分区设备文件>
-t <文件系统类型> 指定文件系统类型
-c 格式化前检查磁盘

mkisofs -o <镜像文件> [源文件目录]
用光盘或者文件制作iso镜像
-b 可启动镜像
hdparm <磁盘设备文件>
设置硬盘参数
-d <0|1> DMA模式开关
-a <0|1> 预计模式开关
-t 性能测试
-T 缓存性能测试
-c <0|1|3> 32位传输模式开关
-g 显示柱面，扇区等信息
-i -I 显示磁盘信息
网络和硬件管理
ifconfig
配置网络接口
-a 显示所有网络接口

ifconfig <网卡> up|down
激活|禁用网卡
示例： ::
sudo ifconfig eth0 up

ifconfig <网卡> add <IP地址> [ netmask <子网掩码> ]
给网卡指定IP地址或子网掩码
route
配置路由及网关
route add -net <路由地址> gw <网关地址> [ netmask <子网掩码> ] dev <网卡>
指定路由及网关
route del -net <网关地址> gw <网关地址> [ netmask <子网掩码> ]
删除路由及网关
ip
配置网络
子命令：
link 网卡配置
address 配置地址。相当于 ifconfig
route 配置路由。相当于 route
参数：
show 显示 （默认）
set 设置
add 添加
del 删除
示例：
ip link show 显示网卡配置
ip link set eth0 name xxx 重命名网络接口
ping <IP地址>
向目标地址发送ICMP封包，常用来测试网络
-b <广播地址> ping整个网段
-c 发送封包次数
-s <封包大小> 默认为64字节
netstat
网络连接状态
-r 显示路由表，同 route
-a 所有连接
-t 只显示TCP协议
-U 只显示UDP协议
-l 只显示正在监听的端口
-p 显示PID和进程名
-c <秒> 刷新频率
* http/ftp/ssh…… 为应用层协议
* TCP/UDP为传输层协议
* IP/ICMP为网络层协议
lspci
查看PCI总线连接的设备
lsusb
查看USB接口连接的设备
lsmod
查看已加载模块
* /lib/modules/uname -r 目录下为所有可用模块
modprobe <模块名称>
启用模块

chkconfig：
chkconfig命令主要用来更新（启动或停止）和查询系统服务的运行级信息。谨记chkconfig不是立即自动禁止或激活一个服务，它只是简单的改变了符号连接。

语法：
chkconfig --list [name]
chkconfig --add name
chkconfig --del name
chkconfig [--level levels] name <on|off|reset>
chkconfig [--level levels] name

chkconfig 没有参数运行时，显示用法。如果加上服务名，那么就检查这个服务是否在当前运行级启动。如果是，返回true，否则返回false。如果在服务名后面指定了on，off或者reset，那么chkconfi 会改变指定服务的启动信息。on和off分别指服务被启动和停止，reset指重置服务的启动信息，无论有问题的初始化脚本指定了什么。on和off开关，系统默认只对运行级3，4，5有效，但是reset可以对所有运行级有效。
--level选项可以指定要查看的运行级而不一定是当前运行级。
需要说明的是，对于每个运行级，只能有一个启动脚本或者停止脚本。当切换运行级时，init不会重新启动已经启动的服务，也不会再次去停止已经停止的服务。

chkconfig --list ：显示所有运行级系统服务的运行状态信息（on或off）。如果指定了name，那么只显示指定的服务在不同运行级的状态。

chkconfig --add name：增加一项新的服务。chkconfig确保每个运行级有一项启动(S)或者杀死(K)入口。如有缺少，则会从缺省的init脚本自动建立。

chkconfig --del name

一、sysv-rc-conf简介
sysv-rc-conf是一个强大的服务管理程序，群众的意见是sysv-rc-conf比chkconfig好用。
二、背景知识
1、Ubuntu运行级别
Linux 系统任何时候都运行在一个指定的运行级上，并且不同的运行级的程序和服务都不同，所要完成的工作和要达到的目的都不同，系统可以在这些运行级之间进行切换，以完成不同的工作。

Ubuntu 的系统运行级别：
0 系统停机状态
1 单用户或系统维护状态
2~5 多用户状态
6 重新启动

查看当前运行级别,执行命令：
runlevel
（ runlevel 显示上次的运行级别和当前的运行级别，“N”表示没有上次的运行级别。）

切换运行级别，执行命令：
int [0123456Ss]
（ 即在 init 命令后跟一个参数，此参数是要切换到的运行级的运行级代号，如：用 init 0 命令关机；用 init 6 命令重新启动。）

Linux 系统主要启动步骤:
1. 读取 MBR 的信息,启动 Boot Manager
Windows 使用 NTLDR 作为 Boot Manager,如果您的系统中安装多个
版本的 Windows,您就需要在 NTLDR 中选择您要进入的系统。
Linux 通常使用功能强大,配置灵活的 GRUB 作为 Boot Manager。
2. 加载系统内核,启动 init 进程
init 进程是 Linux 的根进程,所有的系统进程都是它的子进程。
3. init 进程读取 /etc/inittab 文件中的信息,并进入预设的运行级别,
按顺序运行该运行级别对应文件夹下的脚本。脚本通常以 start 参数启
动,并指向一个系统中的程序。
通常情况下, /etc/rcS.d/ 目录下的启动脚本首先被执行,然后是
/etc/rcN.d/ 目录。例如您设定的运行级别为 3,那么它对应的启动
目录为 /etc/rc3.d/ 。
4. 根据 /etc/rcS.d/ 文件夹中对应的脚本启动 Xwindow 服务器 xorg
Xwindow 为 Linux 下的图形用户界面系统。
5. 启动登录管理器,等待用户登录
Ubuntu 系统默认使用 GDM 作为登录管理器,您在登录管理器界面中
输入用户名和密码后,便可以登录系统。(您可以在 /etc/rc3.d/
文件夹中找到一个名为 S13gdm 的链接)

三、安装sysv-rc-conf
sudo apt-get install sysv-rc-conf

四、使用sysv-rc-conf
sudo sysv-rc-conf
操作界面十分简洁，你可以用鼠标点击，也可以用键盘方向键定位，用空格键选择，用Ctrl+N翻下一页，用Ctrl+P翻上一页，用Q退出。

常见的系统服务有：
acpi-support 高级电源管理支持
acpid acpi 守护程序.这两个用于电源管理,非常重要
alsa 声音子系统
alsa-utils
anacron cron 的子系统,将系统关闭期间的计划任务,在下一次系统运行时执行。
apmd acpi 的扩展
atd 类似于 cron 的任务调度系统。建议关闭
binfmt-support 核心支持其他二进制的文件格式。建议开启
bluez-utiles 蓝牙设备支持
bootlogd 启动日志。开启它
cron 任务调度系统,建议开启
cupsys 打印机子系统。
dbus 消息总线系统(message bus system)。非常重要
dns-clean 使用拨号连接时,清除 dns 信息。
evms 企业卷管理系统(Enterprise Volumn Management system)
fetchmail 邮件用户代理守护进程,用于收取邮件
gdm gnome 登录和桌面管理器。
gdomap
gpm 终端中的鼠标支持。
halt 别动它。
hdparm 调整硬盘的脚本,配置文件为 /etc/hdparm.conf。
hibernate 系统休眠
hotkey-setup 笔记本功能键支持。支持类型包括: HP, Acer, ASUS, Sony,Dell, 和 IBM。
hotplug and hotplug-net 即插即用支持,比较复杂,建议不要动它。
hplip HP 打印机和图形子系统
ifrename 网络接口重命名脚本。如果您有十块网卡,您应该开启它
inetd 在文件 /etc/inetd.conf 中,注释掉所有你不需要的服务。如果该文件不包含任何服务,那关闭它是很安全的。
klogd 重要。
linux-restricted-modules-common 受限模块支持。
/lib/linux-restricted-modules/ 文件夹中的模块为受限模块。例如某些驱动程序,如果您没有使用受限模块,就不需要开启它。
lvm 逻辑卷管理系统支持。
makedev 创建设备文件,非常重要。
mdamd 磁盘阵列
module-init-tools 从/etc/modules 加载扩展模块,建议开启。
networking 网络支持。按 /etc/network/interfaces 文件预设激活网络,非常重要。
ntpdate 时间同步服务,建议关闭。
pcmcia pcmcia 设备支持。
powernowd 移动 CPU 节能支持
ppp and ppp-dns 拨号连接
readahead 预加载库文件。
reboot 别动它。
resolvconf 自动配置 DNS
rmnologin 清除 nologin
rsync rsync 守护程序
sendsigs 在重启和关机期间发送信号
single 激活单用户模式
ssh ssh 守护程序。建议开启
stop-bootlogd 在 2,3,4,5 运行级别中停止 bootlogd 服务
sudo 检查 sudo 状态。重要
sysklogd 系统日志
udev & udev-mab 用户空间 dev 文件系统(userspace dev filesystem)。重要
umountfs 卸载文件系统
urandom 随机数生成器
usplash 开机画面支持
vbesave 显卡 BIOS 配置工具。保存显卡的状态
xorg-common 设置 X 服务 ICE socket。
adjtimex 调整核心时钟的工具
dirmngr 证书列表管理工具,和 gnupg 一起工作。
hwtools irqs 优化工具
libpam-devperm 系统崩溃之后,用于修理设备文件许可的守护程序。
lm-sensors 板载传感器支持
mdadm-raid 磁盘陈列管理器
screen-cleanup 清除开机屏幕的脚本
xinetd 管理其他守护进程的一个 inetd 超级守护程序

ps 显示当前进程

ps -l 显示详细信息
ps -u 以用户的格式显示
相关字段说明

F 进程状态标志
S 进程状态代码
UID 进程执行者ID
PPID 父进程标识(parent process ID)
PRI 进程执行的优先级(priority)
NI 进程执行优先级的nice值,负值表示其优先级较高
SZ 进程占用的内存大小
WCHAN 进程或系统调用等待时的地址

%CPU cpu使用百分比
%MEM 内存使用百分比
VSZ 占用虚拟内存大小
RSS 占用物理内存大小
START 进程开始时间
kill 删除进程

kill pid 删除指定pid的进程
kill -l 查看所有可供传送的信号
kill -9 pid 强制删除进程,传送的是SIGKILL信号
kill -15 pid 强制删除进程,传送的是SIGTERM信号
kill -HUP pid 重启Deamon进程
free 查看内存使用状态

free -s 10 每10秒检查内存使用情况
nice 设置执行优先级,-20~19,19最低

sudo nice –2 vi 将vi的优先级调为-2
renice 修改执行优先级,-20~19,19最低
top 动态显示进程

按”P”键 按CPU使用时间排序
按”M”键 按内存使用多少排序
按”T”键 按执行时间多少排序
按”u”键 监视特定用户
按”K”键 删除进程
top -d 10 指定更新时间
lsof -p 查看进程打开的文件
jobs 命令查看后台作业

sof简介
lsof（list open files）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接 和硬件。所以如传输控制协议 (tcp) 和用户数据报协议 (udp) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因 为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。
lsof使用
lsof输出信息含义
在终端下输入lsof即可显示系统打开的文件，因为 lsof 需要访问核心内存和各种文件，所以必须以 root 用户的身份运行它才能够充分地发挥其功能。
command pid user fd type device size node name
init 1 root cwd dir 3,3 1024 2 /
init 1 root rtd dir 3,3 1024 2 /
init 1 root txt reg 3,3 38432 1763452 /sbin/init
init 1 root mem reg 3,3 106114 1091620 /lib/libdl-2.6.so
init 1 root mem reg 3,3 7560696 1091614 /lib/libc-2.6.so
init 1 root mem reg 3,3 79460 1091669 /lib/libselinux.so.1
init 1 root mem reg 3,3 223280 1091668 /lib/libsepol.so.1
init 1 root mem reg 3,3 564136 1091607 /lib/ld-2.6.so
init 1 root 10u fifo 0,15 1309 /dev/initctl
每行显示一个打开的文件，若不指定条件默认将显示所有进程打开的所有文件。lsof输出各列信息的意义如下：
command：进程的名称
pid：进程标识符
user：进程所有者
fd：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等
type：文件类型，如dir、reg等
device：指定磁盘的名称
size：文件的大小
node：索引节点（文件在磁盘上的标识）
name：打开文件的确切名称
其中fd 列中的文件描述符cwd 值表示应用程序的当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改。
txt 类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的 /sbin/init 程序。其次数值表示应用
程序的文件描述符，这是打开该文件时返回的一个整数。如上的最后一行文件/dev/initctl，其文件描述符为 10。u 表示该
文件被打开并处于读取/写入模式，而不是只读 ® 或只写 (w) 模式。同时还有大写 的w 表示该应用程序具有对整个文件的写
锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时，都具有三个文件描述符，从 0 到 2，
分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件的 fd 都是从 3 开始。
与 fd 列相比，type 列则比较直观。文件和目录分别称为 reg 和 dir。而chr 和 blk，分别表示字符和块设备；
或者 unix、fifo 和 ipv4，分别表示 unix 域套接字、先进先出 (fifo) 队列和网际协议 (ip) 套接字。
lsof常用参数
lsof 常见的用法是查找应用程序打开的文件的名称和数目。可用于查找出某个特定应用程序将日志数据记录到何处，或者正在跟踪某个问题。
例如，linux限制了进程能够打开文件的数目。通常这个数值很大，所以不会产生问题，并且在需要时，应用程序可以请求更大的值（直到某
个上限）。如果你怀疑应用程序耗尽了文件描述符，那么可以使用 lsof 统计打开的文件数目，以进行验证。lsof语法格式是：
lsof ［options］ filename
常用的参数列表：
lsof filename 显示打开指定文件的所有进程
lsof -a 表示两个参数都必须满足时才显示结果
lsof -c string 显示command列中包含指定字符的进程所有打开的文件
lsof -u username 显示所属user进程打开的文件
lsof -g gid 显示归属gid的进程情况
lsof +d /dir/ 显示目录下被进程打开的文件
lsof +d /dir/ 同上，但是会搜索目录下的所有目录，时间相对较长
lsof -d fd 显示指定文件描述符的进程
lsof -n 不将ip转换为hostname，缺省是不加上-n参数
lsof -i 用以显示符合条件的进程情况
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> ipv4 or ipv6
protocol --> tcp or udp
hostname --> internet host name
hostaddr --> ipv4地址
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)
例如： 查看22端口现在运行的情况
# lsof -i :22
command pid user fd type device size node name
sshd 1409 root 3u ipv6 5678 tcp *:ssh (listen)
查看所属root用户进程所打开的文件类型为txt的文件:
# lsof -a -u root -d txt
command pid user fd type device size node name
init 1 root txt reg 3,3 38432 1763452 /sbin/init
mingetty 1632 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1633 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1634 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1635 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1636 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1637 root txt reg 3,3 14366 1763337 /sbin/mingetty
kdm 1638 root txt reg 3,3 132548 1428194 /usr/bin/kdm
x 1670 root txt reg 3,3 1716396 1428336 /usr/bin/xorg
kdm 1671 root txt reg 3,3 132548 1428194 /usr/bin/kdm
startkde 2427 root txt reg 3,3 645408 1544195 /bin/bash
... ...


lsof使用实例


一、查找谁在使用文件系统
在卸载文件系统时，如果该文件系统中有任何打开的文件，操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统，如下：
# lsof /gtes11/
command pid user fd type device size node name
bash 4208 root cwd dir 3,1 4096 2 /gtes11/
vim 4230 root cwd dir 3,1 4096 2 /gtes11/
在 这个示例中，用户root正在其/gtes11目录中进行一些操作。一个 bash是实例正在运行，并且它当前的目录为/gtes11，另一个则显示的是vim正在编辑/gtes11下的文件。要成功地卸载/gtes11，应该 在通知用户以确保情况正常之后，中止这些进程。 这个示例说明了应用程序的当前工作目录非常重要，因为它仍保持着文件资源，并且可以防止文件系统被卸载。这就是为什么大部分守护进程（后台进程）将它们的 目录更改为根目录、或服务特定的目录（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免该守护进程阻止卸载不相关的文件系统。

二、恢复删除的文件
当linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。
当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。
在/proc 目录下，其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域，所以这些文件和目录并不存在于磁盘中，因此当我们对这 些文件进行读取和写入时，实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 pid 命名的目录中，即 /proc/1234 中包含的是 pid 为 1234 的进程的信息。每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信 息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof 可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。
当 系统中的某个文件被意外地删除了，只要这个时候系统中还有进程正在访问该文件，那么我们就可以通过lsof从/proc目录下恢复该文件的内容。 假如由于误操作将/var/log/messages文件删除掉了，那么这时要将/var/log/messages文件恢复的方法如下：
首先使用lsof来查看当前是否有进程打开/var/logmessages文件，如下：
# lsof |grep /var/log/messages
syslogd 1283 root 2w reg 3,3 5381017 1773647 /var/log/messages (deleted)
从 上面的信息可以看到 pid 1283（syslogd）打开文件的文件描述符为 2。同时还可以看到/var/log/messages已经标记被删除了。因此我们可以在 /proc/1283/fd/2 （fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下：
# head -n 10 /proc/1283/fd/2
aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.
aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
aug 4 13:50:15 holmes86 kernel: linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 smp wed jul 18 11:18:32 edt 2007
aug 4 13:50:15 holmes86 kernel: bios-provided physical ram map:
aug 4 13:50:15 holmes86 kernel: bios-e820: 0000000000000000 - 000000000009f000 (usable)
aug 4 13:50:15 holmes86 kernel: bios-e820: 000000000009f000 - 00000000000a0000 (reserved)
aug 4 13:50:15 holmes86 kernel: bios-e820: 0000000000100000 - 000000001f7d3800 (usable)
aug 4 13:50:15 holmes86 kernel: bios-e820: 000000001f7d3800 - 0000000020000000 (reserved)
aug 4 13:50:15 holmes86 kernel: bios-e820: 00000000e0000000 - 00000000f0007000 (reserved)
aug 4 13:50:15 holmes86 kernel: bios-e820: 00000000f0008000 - 00000000f000c000 (reserved)
从上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据，那么就可以使用 i/o 重定向将其复制到文件中，如:
cat /proc/1283/fd/2 > /var/log/messages
对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。