linux 文件所有人能访问记录,如何查看 Linux 中文件打开情况?

最新推荐文章于 2022-03-08 14:31:15 发布
最新推荐文章于 2022-03-08 14:31:15 发布
阅读量2.1k 收藏 1
点赞数 1
文章标签: linux 文件所有人能访问记录

原标题:如何查看 Linux 中文件打开情况?

作者:守望(本文来自作者投稿,简介见末尾)

前言

我们都知道,在linux下,“一切皆文件”,因此有时候查看文件的打开情况,就显得格外重要,而这里有一个命令能够在这件事上很好的帮助我们-它就是lsof。

Linux 下有哪些文件

在介绍lsof命令之前,先简单说一下,linux主要有哪些文件:

普通文件

目录

符号链接

面向块的设备文件

面向字符的设备文件

管道和命名管道

套接字

以上各类文件类型不多做详细介绍。

lsof 命令实用用法介绍

lsof,是list open files的简称。它的参数很多,但是我们这里只介绍一些实用的用法(注意有些情况需要root权限执行)。

查看当前打开的所有文件

一般来说,直接输入lsof命令产生的结果实在是太多,可能很难找到我们需要的信息。不过借此说明一下一条记录都有哪些信息。

$ lsof(这里选取一条记录显示)

COMMAND PID USER FD TYPEDEVICE SIZE/OFF NODE NAME

vi 27940hyb 7u REG 8, 1516384137573/home/hyb/. 1.txt.swp

lsof显示的结果,从左往右分别代表:打开该文件的程序名,进程id,用户,文件描述符,文件类型,设备,大小,iNode号,文件名。

我们暂且先关注我们知道的列。这条记录,表明进程id为27940的vi程序,打开了文件描述值为7,且处于读写状态的,在/home/hyb目录下的普通文件(REG regular file).1.txt.swap,当前大小16384字节。

列出被删除但占用空间的文件

在生产环境中,我们可能会使用df命令看到磁盘空间占满了,然而实际上又很难找到占满空间的文件,这常常是由于某个大文件被删除了,但是它却被某个进程打开,导致通过普通的方式找不到它的踪迹,最常见的就是日志文件。我们可以通过lsof来发现这样的文件:

$ lsof | grepdeleted

Xorg 1131root 125u REG 0, 5461026/memfd:xshmfence (deleted)

Xorg 1131root 126u REG 0, 5462913/memfd:xshmfence (deleted)

Xorg 1131root 129u REG 0, 5474609/memfd:xshmfence (deleted)

可以看到这些被删除的但仍然被打开文件,最后查找出来的时候,会被标记deleted。这个时候就可以根据实际情况分析,到底哪些文件可能过大但是却被删除了,导致空间仍然占满。

恢复打开但被删除的文件

前面我们可以找到被删除但是仍然被打开的文件,实际上文件并没有真正的消失,如果是意外被删除的,我们还有手段恢复它。以/var/log/syslog文件为例,我们先删除它(root用户):

$rm /var/log/syslog

然后使用lsof查看那个进程打开了该文件:

$ lsof | grepsyslog

rs:main 9931119syslog 5w REG 8, 1078419528470/var/ log/syslog (deleted)

可以找到进程id为993的进程打开了该文件,我们知道每个进程在/proc下都有文件描述符打开的记录:

$ ls -l /proc/ 993/fd

lr-x------ 1root root 643月 518: 300-> /dev/ null

l-wx------ 1root root 643月 518: 301-> /dev/ null

l-wx------ 1root root 643月 518: 302-> /dev/ null

lrwx------ 1root root 643月 518: 303-> socket:[ 15032]

lr-x------ 1root root 643月 518: 304-> /proc/kmsg

l-wx------ 1root root 643月 518: 305-> / var/log/syslog (deleted)

l-wx------ 1root root 643月 518: 306-> / var/log/auth.log

这里就找到了被删除的syslog文件,文件描述符是5,我们把它重定向出来:

$ cat /proc/ 993/fd/ 5> syslog

$ ls -al / var/log/syslog

-rw-r--r-- 1root root 784933月 519: 22/ var/log/syslog

这样我们就恢复了syslog文件。

查看当前文件被哪些进程打开

Windows下经常遇到要删除某个文件,然后告诉你某个程序正在使用,然而不告诉你具体是哪个程序。我们可以在资源管理器-性能-资源监视器-cpu-关联的句柄处搜索文件,即可找到打开该文件的程序,但是搜索速度感人。

linux就比较容易了,使用lsof命令就可以了,例如要查看当前哪些程序打开了hello.c:

$ lsof hello.c

COMMAND PID USER FD TYPEDEVICE SIZE/OFF NODE NAME

tail 28731hyb 3r REG 8, 15228138441hello.c

但是我们会发现,使用vi打开的hello.c并没有找出来,这是因为vi打开的是一个临时副本。我们换一种方式查找:

$ lsof |grep hello.c

tail 28906hyb 3r REG 8, 15228138441/home/hyb/workspaces/c/hello.c

vi 28933hyb 9u REG 8, 1512288137573/home /hyb/workspaces/c/.hello.c.swp

这样我们就找到了两个程序和hello.c文件相关。

这里grep的作用是从所有结果中只列出符合条件的结果。

查看某个目录文件被打开情况$ lsof +D ./

查看当前进程打开了哪些文件

使用方法:lsof -c 进程名

通常用于程序定位问题,例如用于查看当前进程使用了哪些库,打开了哪些文件等等。假设有一个循环打印字符的hello程序:

$ lsof -c hello

COMMAND PID USER FD TYPE DEVICE SIZE/ OFFNODE NAME

hello 29190hyb cwd DIR 8, 154096134538/home/hyb/workspaces/c

hello 29190hyb rtd DIR 8, 1040962/

hello 29190hyb txt REG 8, 159816138314/home/hyb/workspaces/c/hello

hello 29190hyb mem REG 8, 101868984939763/ lib/x86_64-linux-gnu/libc -2.23.so

hello 29190hyb mem REG 8, 10162632926913/ lib/x86_64-linux-gnu/ld -2.23.so

hello 29190hyb 0u CHR 136, 200t0 23/dev/pts/ 20

hello 29190hyb 1u CHR 136, 200t0 23/dev/pts/ 20

hello 29190hyb 2u CHR 136, 200t0 23/dev/pts/ 20

我们可以从中看到,至少它用到了/lib/x86_64-linux-gnu/libc-2.23.so以及hello文件。

也可以通过进程id查看,可跟多个进程id,使用逗号隔开:

$ lsof -p 29190

COMMAND PID USER FD TYPE DEVICE SIZE/ OFFNODE NAME

hello 29190hyb cwd DIR 8, 154096134538/home/hyb/workspaces/c

hello 29190hyb rtd DIR 8, 1040962/

hello 29190hyb txt REG 8, 159816138314/home/hyb/workspaces/c/hello

hello 29190hyb mem REG 8, 101868984939763/ lib/x86_64-linux-gnu/libc -2.23.so

hello 29190hyb mem REG 8, 10162632926913/ lib/x86_64-linux-gnu/ld -2.23.so

hello 29190hyb 0u CHR 136, 200t0 23/dev/pts/ 20

hello 29190hyb 1u CHR 136, 200t0 23/dev/pts/ 20

hello 29190hyb 2u CHR 136, 200t0 23/dev/pts/ 20

当然这里还有一种方式,就是利用proc文件系统,首先找到hello进程的进程id

:

$ ps -ef| grephello

hyb 2919027929021: 14pts/ 2000: 00: 00./hello 2

hyb 2929628848021: 18pts/ 2200: 00: 00grep--color=auto hello

可以看到进程id为29190,查看该进程文件描述记录目录:

$ ls -l /proc/ 29190/fd

lrwx------ 1hyb hyb 643月 221: 140-> /dev/pts/ 20

lrwx------ 1hyb hyb 643月 221: 141-> /dev/pts/ 20

lrwx------ 1hyb hyb 643月 221: 142-> /dev/pts/ 20

这种方式能够过滤很多信息,因为它只列出了该进程实际打开的,这里它只打开了1,2,3,即标准输入,标准输出和标准错误。

查看某个端口被占用情况

在使用数据库或者启用web服务的时候,总能遇到端口占用问题,那么怎么查看某个端口是否被占用呢?

$ lsof -i : 6379

COMMAND PID USER FD TYPEDEVICE SIZE/OFF NODE NAME

redis-ser 29389hyb 6u IPv6 5346120t0 TCP *: 6379(LISTEN)

redis-ser 29389hyb 7u IPv4 5346130t0 TCP *: 6379(LISTEN)

这里可以看到redis-ser进程占用了6379端口。

查看所有的TCP/UDP连接$ lsof -i tcp

ava 2534hyb 6u IPv6 312750t0 TCP localhost: 9614(LISTEN)

java 2534hyb 22u IPv6 969220t0 TCP localhost: 9614->localhost: 39004(ESTABLISHED)

java 2534hyb 23u IPv6 2495880t0 TCP localhost: 9614->localhost: 45460(ESTABLISHED)

当然我们也可以使用netstat命令。

$ netstat -anp| grep6379

这里的-i参数可以跟多种条件:

-i 4    #ipv4地址

-i 6    #ipv6地址

-i tcp  #tcp连接

-i :3306  #端口

-i @ip  #ip地址

因此需要查看与某个ip地址建立的连接时,可以使用下面的方式:

$ lsof -i@127. 0. 0. 1

查看某个用户打开了哪些文件

linux是一个多用户操作系统,怎么知道其他普通用户打开了哪些文件呢?可使用-u参数

$ lsof -u hyb

(内容太多,省略)

列出除了某个进程或某个用户打开的文件

实际上和前面使用方法类似,只不过,在进程id前面或者用户名前面加^,例如:

lsof-p ^1#列出除进程id为1的进程以外打开的文件

lsof -u ^root#列出除root用户以外打开的文件

总结

以上介绍基于一个条件,实际上多个条件可以组合,例如列出进程id为1的进程打开的tcp套接字文件:

lsof-p 1-i tcp

lsof参数很多,具体的可以使用man命令查看,但是对于我们来说,知道这些实用的基本足够。

【本文作者】

守望:一名好文学,好技术的开发者。在个人公众号“编程珠玑”坚持分享原创技术文章,期待一起交流学习。返回搜狐,查看更多

责任编辑:

杪橙a
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
whatfiles:记录任何Linux进程访问哪些文件
02-25
什么文件 Whatfiles是Linux实用程序,用于记录另一个程序在系统上读取/写入/创建/删除的文件。 它也跟踪目标进程创建的任何新进程和线程。 理由: 长期以来,我一直很沮丧,因为缺少一个简单的实用程序来查看进程从main()退出到哪个文件。 无论您不信任软件供应商还是担心恶意软件,了解程序或安装程序对系统的作用都非常重要。 lsof仅观察时间,而strace很大且有些复杂。 样本输出: mode: read, file: /home/theron/.gimp-2.8/tool-options/gimp-clone-tool, syscall: openat(), PID: 8566, process: gimp mode: read, file: /home/theron/.gimp-2.8/tool-options/gimp-heal-tool, syscall: ope
linux查看文件访问时间
昭哥的博客
11-18 1613
linux查看文件访问时间:
Linux下如何查看文件秒级修改及访问时间
记事本
01-14 4004
Linux下如何查看文件秒级修改及访问时间
获取linux samba的文件访问日志
weixin_34354173的博客
08-19 3702
一天一客户打电话说其公司的某一个共享文件夹完全不见,赶到客户处,经过分析,发现是因为某部门的同事不小心将之移动到其它的位置,把客户给吓得半 死。后来同其商量,为了解决此种,以及出现问题之后可以快速找出是谁进行的误操作(比如是谁什么时间删除了文件,复制了文件等),以追究责任。决定 从两方面下手,第一,实现对每个共享及文件详细的ACL控制,虽然麻烦点,但能够有效的预防因为误操作而...
Linux find查询最近更新访问过的文件
v5browser
03-27 831
Linuxfind常见用法示例· find path -option [-print] [-exec -ok command]{} \; #-print 将查找到的文件输出到标准输出 #-exec command {} \; 将查到的文件执行command操作,{} 和 \;之间有空格 #-ok 和-exec相同,只不过在操作前要询用户 -mtime -n +n 按照文件的更改时间来查...
Linux文件访问和日志
weixin_30515513的博客
02-24 133
一、文件系统创建一个文件的过程假设我们想要新增一个文件,此时文件系统的行为是:先确定用户对于欲新增文件的目录是否具有 w 与 x 的权限,若有的话才能新增;根据 inode bitmap 找到没有使用的 inode 号码,并将新文件的权限/属性写入;根据 block bitmap 找到没有使用的 block 号码,并将实际的数据写入 block ,且升级 inode 的 block 指向数据;...
linux工作站文件访问记录,在Linuxsmbfs文件系统的挂载
weixin_42097557的博客
05-14 156
mount 的用法,加载网络的共享文件夹到本地机;mount就是用于挂载文件系统的,SMB做为网络文件系统的一种,也能用mount挂载;smbmount说到底也是用mount的一个变种;mount 挂载smbfs的用法;mount -t smbfs -o codepage=cp936,username=用户名,password=密码 , -l //ip地址/共享文件夹名 挂载点或mount -t...
Linux如何查看一个文件最近被修改和访问的时间
一只小白
03-08 2782
有些文件可以被动过,所以我们需要对访问和修改时间进行检查。那就可以使用stat命令检查。 查看文件最近的修改时间: # stat ES_config.py File: `ES_config.py' Size: 7359 Blocks: 16 IO Block: 4096 regular file Device: fd03h/64771d Inode: 131133 Links: 1 Access: (0644/-rw-r--r--) Uid:
linux查找最近访问文件,教您在Linux系统查找最近修改的文件/文件
weixin_29611573的博客
04-28 2368
如果您使用Linux系统进行日常操作,则主目录文件将随时间急剧增加。如果您有成千上万个文件,很可能不记得最近更改的文件名,本文将教您在Linux系统查找最近修改的文件/文件夹。另外,如果要检查出于任何目的创建或修改或访问文件列表,本文将能够帮助您,以下是具体的使用示例。前言在Linux,每个文件都包含三个时间戳,这些时间戳在修改或替换文件时会更新。Linux文件包含三个时间戳:atime...
大势至服务器共享文件访问记录软件 v3.1.zip
07-03
一、大势至服务器共享文件访问记录软件应用背景 当前,在企事业单位内部局域网,常常在服务器上共享一些重要的文件供局域网用户使用,极大地方便了企业内部资源、信息、文件的交换和使用。但是,由于缺乏对局域网...
linux学习记录
11-28
chown 修改文件所有者属于谁 如 chown testuser2 4, 就把4这个文件由testuser给了testuser2 操作文件 wc 取得文件的行数,字数,字符数 注:showoff文件一个文件名 find 可以从目录或子目录收索所选文件 ...
入门学习Linux常用必会60个命令实例详解doc/txt
06-09
Linux 和Unix系统上,所有文件都是作为一个大型树(以/为根)的一部分访问的。要访问CD-ROM上的文件,需要将CD-ROM设备挂装在文件的某个挂装点。如果发行版安装了自动挂装包,那么这个步骤可自动进行。在Linux...
cmd操作命令和linux命令大全收集
04-24
dir 查看文件,参数:/Q显示文件及目录属系统哪个用户,/T:C显示文件创建时间,/T:A显示文件上次被访问时间,/T:W上次被修改时间 date /t 、 time /t 使用此参数即“DATE/T”、“TIME/T”将只显示当前日期和时间,...
Linux操作系统基础教程
04-08
在这一讲,我们主要是了解一下 Linux 的概况,以及对 Linux 有一个初步的感性认识。 一.什么是LinuxLinux 是一个以 Intel 系列 CPU(CYRIX,AMD 的 CPU也可以)为硬件平台,完全免费的 UNIX 兼容系统,完全...
Linux文件操作_日常记录
LemonCake的博客
01-02 670
Linux文件操作_日常记录
Linux 文件系统启动记录
And乔的博客
12-06 334
Linux 文件系统启动记录 1. 两个脚本 1.1 inittab 该脚本路径:/etc/inittab [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SctSKgOJ-1607260724411)(Linux%20%E6%96%87%E4%BB%B6%E7%B3%BB%E7%BB%9F%E5%90%AF%E5%8A%A8%E8%AE%B0%E5%BD%95.assets/image-20201206173119963.png)] 基本inittab就是上述这张图这个形式,
linux文件操作记录,附查询历史操作记录文件shell
weixin_35995377的博客
04-29 1707
本shell是配合前一个记录用户历史操作记录shell的,代码如下:#!/bin/sh -# filename getrecorduser=time=while [ $# -gt 0 ]docase $1 in-u|--user) user=$2shift 2;;-t|--time) time=$2shift 2;;-*) echo "$0:$1 Wrong Options!" &g...
Linux使用记录1
浅梦的学习笔记
03-01 922
The Linux Foundation Debian Family Systems (such as Ubuntu) SUSE Family Systems (such as openSUSE) Fedora Family Systems (such as CentOS) Linux Structure and Installation Linux支持的不同类型的文件系统传统硬盘文件系统:ext2
linux下如何查看某个进程打开了那些文件
移动开发记录
12-17 137
1. 取得进程号:#ps -ef|grep app_name root 1773 633 99 03:51 ttyS0 00:01:48 ./app_name 3 root 1809 757 0 03:53 pts/0 00:00:00 grep app_name 2.查看打开文件: # ls -la /proc/1773/fddr-x------ 2 root root 0 Jan 1...
如何在Linux打开网络配置文件
最新发布
06-02
Linux打开网络配置文件,可以使用命令行编辑器,比如vi或nano。具体步骤如下: 1. 打开终端,输入以下命令进入网络配置文件所在目录,该目录下的文件为网络配置文件。 ``` cd /etc/sysconfig/network-scripts/ ``` 2. 使用vi或nano编辑器打开网络配置文件,以vi为例,输入以下命令: ``` vi ifcfg-eth0 ``` 其ifcfg-eth0为网络接口的名称,根据实际情况修改。 3. 在vi编辑器,使用光标移动、插入、删除等命令进行编辑。编辑完成后,按下Esc键退出插入模式,输入:wq保存并退出。 4. 重启网络服务,以使更改生效,输入以下命令: ``` systemctl restart network ``` 以上就是在Linux打开网络配置文件的步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值