本篇內(nèi)容主要講解“Linux系統(tǒng)下如何使用lsof命令”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學(xué)習(xí)“Linux系統(tǒng)下如何使用lsof命令”吧!

創(chuàng)新互聯(lián)主營普安網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,成都app軟件開發(fā)公司,普安h5小程序開發(fā)搭建,普安網(wǎng)站營銷推廣歡迎普安等地區(qū)企業(yè)咨詢

lsof命令簡介：
lsof（list open files）是一個列出當(dāng)前系統(tǒng)打開文件的工具。在linux環(huán)境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規(guī)數(shù)據(jù)，還可以訪問網(wǎng)絡(luò)連接和硬件。所以，lsof的功能很強大。一般root用戶才能執(zhí)行l(wèi)sof命令，普通用戶可以看見/usr/sbin/lsof命令，但是普通用戶執(zhí)行會顯示“permission denied”。因此通過lsof工具能夠查看這個列表對系統(tǒng)監(jiān)測以及排錯將是很有幫助的。

有趣的是，lsof也是有著最多開關(guān)的Linux/Unix命令之一。它有那么多的開關(guān)，它有許多選項支持使用-和+前綴。

usage: [-?abhlnNoOPRstUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]]
 [-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+|-M] [-o [o]]
 [-p s] [+|-r [t]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]
正如你所見，lsof有著實在是令人驚訝的選項數(shù)量。你可以使用它來獲得你系統(tǒng)上設(shè)備的信息，你能通過它了解到指定的用戶在指定的地點正在碰什么東西，或者甚至是一個進(jìn)程正在使用什么文件或網(wǎng)絡(luò)連接。
對于我，lsof替代了netstat和ps的全部工作。它可以帶來那些工具所能帶來的一切，而且要比那些工具多得多。那么，讓我們來看看它的一些基本能力吧：
 
在終端下輸入lsof即可顯示系統(tǒng)打開的文件，因為 lsof 需要訪問核心內(nèi)存和各種文件，所以必須以 root 用戶的身份運行它才能夠充分地發(fā)揮其功能。

每行顯示一個打開的文件，若不指定條件默認(rèn)將顯示所有進(jìn)程打開的所有文件。lsof輸出各列信息的意義如下：
COMMAND：進(jìn)程的名稱
PID：進(jìn)程標(biāo)識符
USER：進(jìn)程所有者
FD：文件描述符，應(yīng)用程序通過文件描述符識別該文件。如cwd、txt等
TYPE：文件類型，如DIR、REG等
DEVICE：指定磁盤的名稱
SIZE：文件的大小
NODE：索引節(jié)點（文件在磁盤上的標(biāo)識）
NAME：打開文件的確切名稱
 
lsof指令的用法如下：
lsof abc.txt 顯示開啟文件abc.txt的進(jìn)程
lsof 目錄名 查找誰在使用文件目錄系統(tǒng)

關(guān)鍵選項
理解一些關(guān)于lsof如何工作的關(guān)鍵性東西是很重要的。最重要的是，當(dāng)你給它傳遞選項時，默認(rèn)行為是對結(jié)果進(jìn)行“或”運算。因此，如果你正是用-i來拉出一個端口列表，同時又用-p來拉出一個進(jìn)程列表，那么默認(rèn)情況下你會獲得兩者的結(jié)果。
下面的一些其它東西需要牢記：
默認(rèn) : 沒有選項，lsof列出活躍進(jìn)程的所有打開文件
組合 : 可以將選項組合到一起，如-abc，但要當(dāng)心哪些選項需要參數(shù)
-a : 結(jié)果進(jìn)行“與”運算（而不是“或”）
-l : 在輸出顯示用戶ID而不是用戶名
-h : 獲得幫助
-t : 僅獲取進(jìn)程ID
-U : 獲取UNIX套接口地址
-F : 格式化輸出結(jié)果，用于其它命令?？梢酝ㄟ^多種方式格式化，如-F pcfn（用于進(jìn)程id、命令名、文件描述符、文件名，并以空終止）

獲取網(wǎng)絡(luò)信息
正如我所說的，我主要將lsof用于獲取關(guān)于系統(tǒng)怎么和網(wǎng)絡(luò)交互的信息。這里提供了關(guān)于此信息的一些主題：
使用-i顯示所有連接
有些人喜歡用netstat來獲取網(wǎng)絡(luò)連接，但是我更喜歡使用lsof來進(jìn)行此項工作。結(jié)果以對我來說很直觀的方式呈現(xiàn)，我僅僅只需改變我的語法，就可以通過同樣的命令來獲取更多信息。

代碼如下:

# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
dhcpcd 6061 root 4u IPv4 4510 UDP *:bootpc
sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)

使用-i 6僅獲取IPv6流量

代碼如下:

# lsof -i 6

僅顯示TCP連接（同理可獲得UDP連接）
你也可以通過在-i后提供對應(yīng)的協(xié)議來僅僅顯示TCP或者UDP連接信息。

代碼如下:

# lsof -iTCP
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)

使用-i:port來顯示與指定端口相關(guān)的網(wǎng)絡(luò)信息
或者，你也可以通過端口搜索，這對于要找出什么阻止了另外一個應(yīng)用綁定到指定端口實在是太棒了。

代碼如下:

# lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)

使用@host來顯示指定到指定主機(jī)的連接
這對于你在檢查是否開放連接到網(wǎng)絡(luò)中或互聯(lián)網(wǎng)上某個指定主機(jī)的連接時十分有用。

代碼如下:

# lsof -i@172.16.12.5
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED)

使用@host:port顯示基于主機(jī)與端口的連接
你也可以組合主機(jī)與端口的顯示信息。

代碼如下:

# lsof -i@172.16.12.5:22
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED)

找出監(jiān)聽端口
找出正等候連接的端口。

代碼如下:

# lsof -i -sTCP:LISTEN

你也可以grep “LISTEN”來完成該任務(wù)。

代碼如下:

# lsof -i | grep -i LISTEN
iTunes 400 daniel 16u IPv4 0x4575228 0t0 TCP *:daap (LISTEN)

找出已建立的連接
你也可以顯示任何已經(jīng)連接的連接。

代碼如下:

# lsof -i -sTCP:ESTABLISHED

你也可以通過grep搜索“ESTABLISHED”來完成該任務(wù)。

代碼如下:

# lsof -i | grep -i ESTABLISHED
firefox-b 169 daniel 49u IPv4 0t0 TCP 1.2.3.3:1863->1.2.3.4:http (ESTABLISHED)

用戶信息
你也可以獲取各種用戶的信息，以及它們在系統(tǒng)上正干著的事情，包括它們的網(wǎng)絡(luò)活動、對文件的操作等。
使用-u顯示指定用戶打開了什么

代碼如下:

# lsof -u daniel
-- snipped --
Dock 155 daniel txt REG 14,2 2798436 823208 /usr/lib/libicucore.A.dylib
Dock 155 daniel txt REG 14,2 1580212 823126 /usr/lib/libobjc.A.dylib
Dock 155 daniel txt REG 14,2 2934184 823498 /usr/lib/libstdc++.6.0.4.dylib
Dock 155 daniel txt REG 14,2 132008 823505 /usr/lib/libgcc_s.1.dylib
Dock 155 daniel txt REG 14,2 212160 823214 /usr/lib/libauto.dylib
-- snipped --

使用-u user來顯示除指定用戶以外的其它所有用戶所做的事情

代碼如下:

# lsof -u ^daniel
-- snipped --
Dock 155 jim txt REG 14,2 2798436 823208 /usr/lib/libicucore.A.dylib
Dock 155 jim txt REG 14,2 1580212 823126 /usr/lib/libobjc.A.dylib
Dock 155 jim txt REG 14,2 2934184 823498 /usr/lib/libstdc++.6.0.4.dylib
Dock 155 jim txt REG 14,2 132008 823505 /usr/lib/libgcc_s.1.dylib
Dock 155 jim txt REG 14,2 212160 823214 /usr/lib/libauto.dylib
-- snipped --

殺死指定用戶所做的一切事情
可以消滅指定用戶運行的所有東西，這真不錯。

代碼如下:

# kill -9 `lsof -t -u daniel`

命令和進(jìn)程
可以查看指定程序或進(jìn)程由什么啟動，這通常會很有用，而你可以使用lsof通過名稱或進(jìn)程ID過濾來完成這個任務(wù)。下面列出了一些選項：
使用-c查看指定的命令正在使用的文件和網(wǎng)絡(luò)連接

代碼如下:

# lsof -c syslog-ng
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslog-ng 7547 root cwd DIR 3,3 4096 2 /
syslog-ng 7547 root rtd DIR 3,3 4096 2 /
syslog-ng 7547 root txt REG 3,3 113524 1064970 /usr/sbin/syslog-ng
-- snipped --

使用-p查看指定進(jìn)程ID已打開的內(nèi)容

代碼如下:

# lsof -p 10075
-- snipped --
sshd 10068 root mem REG 3,3 34808 850407 /lib/libnss_files-2.4.so
sshd 10068 root mem REG 3,3 34924 850409 /lib/libnss_nis-2.4.so
sshd 10068 root mem REG 3,3 26596 850405 /lib/libnss_compat-2.4.so
sshd 10068 root mem REG 3,3 200152 509940 /usr/lib/libssl.so.0.9.7
sshd 10068 root mem REG 3,3 46216 510014 /usr/lib/liblber-2.3
sshd 10068 root mem REG 3,3 59868 850413 /lib/libresolv-2.4.so
sshd 10068 root mem REG 3,3 1197180 850396 /lib/libc-2.4.so
sshd 10068 root mem REG 3,3 22168 850398 /lib/libcrypt-2.4.so
sshd 10068 root mem REG 3,3 72784 850404 /lib/libnsl-2.4.so
sshd 10068 root mem REG 3,3 70632 850417 /lib/libz.so.1.2.3
sshd 10068 root mem REG 3,3 9992 850416 /lib/libutil-2.4.so
-- snipped --

-t選項只返回PID

代碼如下:

# lsof -t -c Mail
350

文件和目錄
通過查看指定文件或目錄，你可以看到系統(tǒng)上所有正與其交互的資源——包括用戶、進(jìn)程等。
顯示與指定目錄交互的所有一切

代碼如下:

# lsof /var/log/messages/
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslog-ng 7547 root 4w REG 3,3 217309 834024 /var/log/messages

顯示與指定文件交互的所有一切

代碼如下:

# lsof /home/daniel/firewall_whitelist.txt

高級用法
與tcpdump類似，當(dāng)你開始組合查詢時，它就顯示了它強大的功能。
顯示daniel連接到1.1.1.1所做的一切

代碼如下:

# lsof -u daniel -i @1.1.1.1
bkdr 1893 daniel 3u IPv6 3456 TCP 10.10.1.10:1234->1.1.1.1:31337 (ESTABLISHED)

同時使用-t和-c選項以給進(jìn)程發(fā)送 HUP 信號

代碼如下:

# kill -HUP `lsof -t -c sshd`

lsof +L1顯示所有打開的鏈接數(shù)小于1的文件
這通常（當(dāng)不總是）表示某個攻擊者正嘗試通過刪除文件入口來隱藏文件內(nèi)容。

代碼如下:

# lsof +L1

(hopefully nothing)
顯示某個端口范圍的打開的連接

代碼如下:

# lsof -i @fw.google.com:2150=2180

到此，相信大家對“Linux系統(tǒng)下如何使用lsof命令”有了更深的了解，不妨來實際操作一番吧！這里是創(chuàng)新互聯(lián)建站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！

網(wǎng)頁標(biāo)題：Linux系統(tǒng)下如何使用lsof命令-創(chuàng)新互聯(lián)
URL地址：http://chinadenli.net/article2/phooc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計、網(wǎng)站設(shè)計公司、網(wǎng)站內(nèi)鏈、自適應(yīng)網(wǎng)站、外貿(mào)建站、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)