linux lsof重装,Linux系统诊断神器:lsof用法学起来!

最新推荐文章于 2024-04-20 14:43:36 发布
最新推荐文章于 2024-04-20 14:43:36 发布
阅读量159 收藏
点赞数
文章标签: linux lsof重装

lsof(list open files)是一个查看当前系统文件的工具。在linux环境下,任何事物都以文件的形式存在,用户通过文件不仅可以访问常规数据,还可以访问网络连接和硬件;如传输控制协议 (TCP) 和用户数据报协议 (UDP)套接字等,系统在后台都为该应用程序分配了一个文件描述符,该文件描述符提供了大量关于此应用程序的信息。本期“安仔课堂”,ISEC实验室的刘老师为大家详解lsof的用法。

一、命令参数

-a:列出打开文件存在的进程;

-c:列出指定进程所打开的文件;

-g:列出GID号进程详情;

-d:列出占用该文件号的进程;

+d:列出目录下被打开的文件;

+D:递归列出目录下被打开的文件;

-n:列出使用NFS的文件;

-i:列出符合条件的进程(4、6、协议、:端口、 @ip );

-p:列出指定进程号所打开的文件;

-u:列出UID号进程详情;

-h:显示帮助信息;

-v:显示版本信息。

二、实例讲解

9b00164a4f69d2124f6531082f56ae92.png

1、lsof输出各列信息的意义,如下:

COMMAND:进程的名称;

PID:进程标识符;

PPID:父进程标识符(需要指定-R参数);

USER:进程所有者;

PGID:进程所属组;

FD:文件描述符,应用程序通过文件描述符识别该文件。

2、文件描述符列表:

①. cwd:表示current work dirctory,即:应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改;

②. txt:该类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的 /sbin/init 程序;

③. lnn:library references (AIX);

④. er:FD information error (see NAME column);

⑤. jld:jail directory (FreeBSD);

⑥. ltx:shared library text (code and data);

⑦. mxx :hex memory-mapped type number xx.

⑧. m86:DOS Merge mapped file;

⑨. mem:memory-mapped file;

⑩. mmap:memory-mapped device;

⑪. pd:parent directory;

⑫. rtd:root directory;

⑬. tr:kernel trace file (OpenBSD);

⑭. v86 VP/ix mapped file;

⑮. 0:表示标准输出;

⑯. 1:表示标准输入;

⑰. 2:表示标准错误。

3、一般在标准输出、标准错误、标准输入后,还跟着文件状态模式:

①.u:表示该文件被打开并处于读取/写入模式;

②.r:表示该文件被打开并处于只读模式;

③.w:表示该文件被打开并处于只写模式;

④.空格:表示该文件的状态模式为unknow,且没有锁定;

⑤.-:表示该文件的状态模式为unknow,且被锁定。

4、同时在文件状态模式后面,还跟着相关的锁:

①. N:for a Solaris NFS lock of unknown type;

②. r:for read lock on part of the file;

③. R:for a read lock on the entire file;

④. w:for a write lock on part of the file;(文件的部分写锁)

⑤. W:for a write lock on the entire file;(整个文件的写锁)

⑥. u:for a read and write lock of any length;

⑦. U:for a lock of unknown type;

⑧. x:for an SCO OpenServer Xenix lock on part of the file;

⑨. X:for an SCO OpenServer Xenix lock on the entire file;

⑩. space:if there is no lock。

5、文件类型

①. DIR:表示目录;

②. CHR:表示字符类型;

③. BLK:块设备类型;

④. UNIX:UNIX 域套接字;

⑤. FIFO:先进先出 (FIFO) 队列;

⑥. IPv4:网际协议 (IP) 套接字;

⑦. DEVICE:指定磁盘的名称;

⑧. SIZE:文件的大小;

⑨. NODE:索引节点(文件在磁盘上的标识);

⑩. NAME:打开文件的确切名称。

三、可打开文件

①. 普通文件;

②. 目录;

③. 网络文件系统的文件;

④. 字符或设备文件;

⑤. (函数)共享库;

⑥. 管道,命名管道;

⑦. 符号链接;

⑧. 网络文件(例如:NFS file、网络socket,unix域名socket);

⑨. 其它类型的文件等。

四、常规用法

lsof 常被用来查找应用程序打开的文件名称和数目,系统管理员可能想尝试找出某个特定应用程序将日志数据记录到何处,或者正在跟踪某个问题。接下来,我们来看看是如何操作的:

1、进程篇

(1)、查看由登陆用户启动而非系统启动的进程:

命令: lsof /dev/pts0

e98bd7e136460d74ab43b9af0ef45c48.png

a. /dev/pts是远程登陆(telnet,ssh等)后创建的控制台设备文件所在的目录;

b. 第一个用户登陆,console的设备文件为/dev/pts/0,第二个为/dev/pts/1,以此类推;

c. 通过查看/dev/pts下的进程,我们将可以了解到由登陆用户启动而非系统启动的进程有哪些。

(2)、查看文件,设备被哪些进程占用:

4ed16f7aa220f29b363d4bbb13952b2e.png

命令:lsof /dev/tty1

a. /dev/tty就是当前进程的控制终端的设备特殊文件;

b. 通过查看/dev/tty下文件可以知道文件、设备的进程占用情况。

(3)、指定进程号,可以查看该进程打开的文件:

命令:lsof -p 27358

b92bb4ba190b0ecfbc9452a0d8cab05c.png

a. 通过加入参数-p,我们可以指定一个PID,然后查看该进程下打开的文件。

b. 本例我们查看的是nginx下打开的相关文件。

2、文件篇

(1)、查看指定程序打开的文件

命令:lsof -c sshd

765a8a730bf5dbb070f2626b2aa75ae9.png

通过参数-c可以列出指定进程所打开的文件情况,以上是我们打开sshd下被打开文件的情况。

(2)、查看指定用户打开的文件

命令:lsof -u root | more

a0bb4eb15bbdd5cdad434e66a4031453.png

通过参数-u查看root用户下存在的文件情况,由于root下显示内容较多,可以利用more来限制,进行分页查看。

(3)、查看指定目录下被打开的文件

命令:lsof +D /home/ 或lsof +d /home/

41a9256345fa56e1a71984b252cafb5d.png

参数+D为递归列出/home/下被打开的文件,参数+d为列出/home/下被打开的文件。

3、网络篇

(1)、查看所有网络连接

命令:lsof -i 和 lsof -i@127.0.0.1

73101276b22c1ab3ecb41dcd7b7492d4.png

878351ccb295af332833abfbd4d213bc.png

通过参数-i查看网络连接的情况,包括连接的ip、端口等;以及一些服务的连接情况,例如:sshd等。也可以通过指定ip查看该ip的网络连接情况。

(2)、查看端口连接情况

命令:lsof -i :22

24ca87bbdadbe6216827655cd1557300.png

通过参数-i:端口可以查看端口的占用情况,-i参数还有查看协议,ip的连接情况等。

4、综合篇

(1)、查看指定进程打开的网络连接

命令:lsof -i -a -p 1535

2428978b4b7e02475b4cce5c6723a6db.png

使用了参数-i、-a、-p等,-i查看网络连接情况,-a查看存在的进程,-p指定进程。

(2)、查看指定状态的网络连接

命令:lsof -n -P -i TCP -s TCP:ESTABLISHED

cac86a62ef1f7b58844adba42efea6df.png

参数解释: -n:no host names, -P:no port names,-i TCP指定协议,-s指定协议状态;通过多个参数我们可以清晰的查看网络连接情况、协议连接情况等。

五、恢复被删除的日志

Linux的系统日志默认保存在/var/log下

c06e5d96fbf3351068accf8b711910aa.png

当Linux系统被入侵后,很多入侵者经常会删除系统中的各种日志,包括Web的access和error日志、last日志、messages日志、secure日志等,阻碍应急响应和取证调查,比如rm -rf /var/log。

e8b5dd733721d7ecfbb5149c93c99730.png

遇到这种情况,不要关闭或者重启服务器系统,也不要关闭或重启相关服务或者进程,如:恢复apache的访问日志/var/log/httpd/access_log时,不能关闭或者重启服务器系统,也不能重启httpd服务。

假设我们要恢复被删除的messages日志和secure日志:

1.首先通过losf命令找到使用messages文件的进程的PID和messages文件的FD(文件描述符);

78ec690918c226664e2b3ff1b24c231f.png

从上面命令输出可以看到,这个打开/var/log/messages文件的进程的PID是815,文件/var/log/messages的FD(文件描述符)是4,状态为deleted,标记被删除,但其实该文件并没有从磁盘中删除。

2.如果删除的文件还存在操作的进程,数据将可能被找回,可以在/proc/815/fd/4找到被删除的/var/log/messages文件;

31a3862b3f4eef99a6aeafc7fe89d816.png

71dd4d43e53079a1d7f9d727bd1d0d28.png

3.恢复被删除的/var/log/secure文件;

a684cea43417a8af2c7c66a8b54f980a.png

在Linux系统中删除了一个文件,只要进程还在对文件进行操作,就可能还存在一个inode的引用:/proc/进程号/fd/文件描述符,只要知道当前打开文件的进程pid和文件描述符fd,即可利用lsof命令还原出被删除的文件。

六、总  结

Linux大量使用了文件,作为系统管理员,lsof 允许用户对核心内存进行查看,以找出系统当前如何使用这些文件。lsof的简单用法可以告诉用户哪些进程打开了哪些文件,以及哪些文件由哪些进程打开。

在收集关于应用程序工作情况的信息时,或在进行某些可能损坏数据的操作前,要确保文件未被使用,这一点特别重要。lsof 更高级的用法可以帮助用户查找删除的文件,并获得关于网络连接的信息。lsof 是一个功能强大的工具,它几乎可以用于任何地方。

白苏艾
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux lsof命令使用详解
01-09
linux 系统中,一切皆文件。通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以 lsof 命令不仅可以查看进程打开的文件、目录,还可以查看进程监听的端口等 socket 相关的信息。本文将介绍 lsof ...
linux使用lsof命令查看文件打开情况
01-10
我们都知道,在linux下,“一切皆文件”,因此有时候查看文件的打开情况,就显得格外要,而这里有一个命令能够在这件事上很好的帮助我们-它就是lsoflinux下有哪些文件 在介绍lsof命令之前,先简单说一下,...
linux lsof,Linux 命令lsof 入门
weixin_39793189的博客
05-16 75
lsof系统管理/安全的尤伯工具。我大多数时候用它来从系统获得与网络连接相关的信息,但那只是这个强大而又鲜为人知的应用的第一步。将这个工具称之为lsof真实名副其实,因为它是指“列出打开文件(lists openfiles)”。而有一点要切记,在Unix中一切(包括网络套接口)都是文件。有趣的是,lsof也是有着最多开关的Linux/Unix命令之一。它有那么多的开关,它有许多选项支持使用-和+...
linux lsof,Linux操作系统lsof命令详解
weixin_35921127的博客
05-16 164
lsof全名list opened files,也就是列举系统中已经被打开的文件。我们都知道,linux环境中,任何事物都是文件,设备是文件,目录是文件,甚至sockets也是文件。所以,用好lsof命令,对日常的linux管理非常有帮助。一般root用户才能执行lsof命令,普通用户可以看见/usr/sbin/lsof命令,但是普通用户执行会显示“permission denied”我总结一下l...
带你走进 lsof 命令_hbrclient,2024年最新想提高开发效率的必看
最新发布
2301_78416732的博客
04-20 931
lsof -i tcp@ohaha.ks.edu.tw:ftp -r //不断查看目前ftp连接的情况(-r,lsof会永远不断的执行,直到收到中断信号,+r,lsof会一直执行,直到没有档案被显示,缺省是15s刷新)lsof -D /tmp //显示所有在/tmp文件夹中打开的instance和文件的进程。但是symbol文件并不在列。lsof -u ^tony //查看不是用户tony的进程的文件使用情况(^是取反的意思)lsof /etc/passwd //那个进程在占用/etc/passwd。
linux 系统监控、诊断工具之 lsof 用法简介
jkh753的专栏
08-19 2万+
目录:[ -] 1、lsof 简介 2、lsof 常用用法 2.1 监控打开的文件、设备 2.2 监控文件系统 2.3 监控进程 2.4 监控网络 3、更多使用技巧 3.1 监控用戶 3.2 监控应用程序 4、命令模式技巧 4.1 组合逻辑查询条件 4.2 lsof 命令的复执行模式: 5、最后的技巧 6、refer:  1、lsof 简介
如何查看声卡、pcm设备以及tinyplay、tinymix、tinycap的使用
luyao3038的博客
12-10 1万+
如何查看声卡、pcm设备以及tinyplay、tinymix、tinycap的使用
如何查看Linux系统运行RTSP协议EasyNVR视频平台端口被占用的进程?
EasyNVR官方技术博客
08-14 552
很多用户在linux下启动EasyNVR视频平台都经历过启动失败,我就总结了一下,发现最常见的原因就是端口被占用了,具体报错就是在启动时,报了In Use错误,程序就停滞了。 使用EasyNVR的用户都知道,这个是由于端口10100被占用导致的系统启动失败,只要将EasyNVR改变端口或者是把10100端口占用的程序杀掉就可以正常的运行启动软件的了。 但是服务上任何一个程序都有他自身用处,在不了解具体进程用处的时候是不能杀掉进程或者是强制停掉程序的。那么我们如何确定这个10100端口被哪个进程所占
Linux恢复删除文件的lsof命令详解
01-20
lsof命令 lsof命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。找回/恢复删除的文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。 在...
linux_lsof.rar
06-04
linux lsof源码
linux lsof命令详解及实例
09-15
**Linux lsof命令详解** lsof是一个强大的系统监控工具,它能列出当前系统中所有正在被进程打开的文件。在Linux系统中,一切皆为文件,包括网络连接、硬件设备...熟练掌握lsof的使用,对于提升Linux运维能力至关要。
lsof
hhhhhyyyyy8的博客
06-01 562
先mark一下 https://www.cnblogs.com/sparkbj/p/7161669.html https://linux.cn/article-4099-1.html https://www.jianshu.com/p/a3aa6b01b2e1 https://blog.51cto.com/zhangxinqi/2374118
linux ubuntu开放端口查看,ubuntu/linux下查看端口使用情况
weixin_39837352的博客
05-08 315
想查看TCP或者UDP端口使用情况,使用 netstat -anp 如果有些进程看不见,如只显示”-”,可以尝试 sudo netstat -anp 如果想看某个端口的信息,使用lsof命令,如: sudo lsof -i :631-bash-3.00# netstat -tlnnetstat -tln 命令是用来查看linux的端口使用情况/etc/init.d/vsftp start 是用来启...
Ubuntu终端命令--查看端口占用及关闭
AI悦创·编程私教1v1
02-22 3942
你好,我是悦创。Ubuntu 查看端口使用情况,使用 netstat 命令: 1、查看已经连接的服务端口(ESTABLISHED) netstat -a 2、查看所有的服务端口(LISTEN,ESTABLISHED) netstat -ap 3、查看指定端口,可以结合 grep 命令: netstat -ap | grep 8080 也可以使用 lsof 命令: lsof -i:8888 4、若要关闭使用这个端口的程序,使用kill + 对应的pid kill -9 PID号 Ps:kill
Linuxlsof 命令的使用
Kevin的专栏
12-12 2526
Mac 下查看某个端口的占用情况,并杀死进程 使用Hexo时,本机以4000端口启动server: sh-3.2# hexo server INFO Hexo is running at http://0.0.0.0:4000/. Press Ctrl+C to stop. 此时,4000端口被Hexo占用,如果想查看4000端口的占用情况,使用: sh-3.2# lsof -
Tcp 连接出现大量 ESTABLISHED 连接
Java海洋
12-14 7万+
问题描述: 在不考虑系统负载、CPU、内存等情况下,netstat监控大量ESTABLISHED连接与Time_Wait连接。 # netstat -n | awk '/^tcp/ {++y[$NF]} END {for(w in y) print w, y[w]}' CLOSE_WAIT 348 ESTABLISHED 1240 TIME_WAIT ...
lsof 查看端口占用的进程ID
weixin_30709929的博客
01-15 618
1. nohup execute >/dev/null 2>&1 & 提交了一个后台jobs 2. 然后查看一下 哪个进程正在用 3. yum 安lsof yum install lsof -y 4. 查看进程信息 lsof -i:7000 5. 效果为: COMMAND PID USER FD TYPE DEVICE S...
linux -lsof及简单使用
lijwen的博客
05-27 2万+
介绍 lsof,List Open Files 列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件(lsof强大原因)。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用...
CentOS系统下安lsof命令
热门推荐
Mazhitaoooo
12-01 8万+
CentOS系统下安lsof命令1.在控制台上输入:# yum install lsof2.输入 ylsof命令就安成功了!lsof命令的使用查看8080端口号使用的进程: 25998就是进程号!
linux lsof
06-12
Linux 中,lsof(List Open Files)是一个非常有用的命令行工具,可以列出当前系统中打开的文件和进程。它可以帮助你查找哪些进程打开了某个文件,哪些文件被哪个进程打开等。 下面是一些常用的 lsof 命令示例:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值