lsof命令的原始功能是列出打开的文件的进程,但LINUX下,所有的设备都是以文件的行式存在的,所以,lsof的功能很强大!
语法:lsof [-?ahlnNPRsv][-c c][+|-d d][+|-D D][-g [s]] [+|-L [I]][-p s][+|-r [t]][-u s][names]
参数说明:若没有加上任何参数,lsof会列出所有被程序开启的文件。
-? -h 这两个参数意思相同,显示出lsof的使用说明 -a 参数被视为AND,会影响全部的参数
-C c 显示出以字符或字符串c开头的命令程序开启的文件,如$lsof -C init
+d s 在文件夹s下搜寻,此参数不会继续深入搜寻此文件夹。如显示在/usr/local下被程序开启的文件:$lsof +d /usr/local +D D 同上,但是会以该文件为基础往下全部搜寻,这样花费较大的CPU时 间,请谨慎使用
-d s 此参数以file descriptor(FD)值显示结果,可以采用范围(1-3)或个别,如显示FD为4的进程:$lsof -d 4
-g [s] 以程序的PGID显示,也可以采用范围或个别表示,若没有特别指定,则显示全部,如显示PGID为6的进程:$lsof -g 6
-i 用以监听有关的任何符合的地址,若没有相关地址被指定,则监听全部
语法: lsof -i [46][protocol][@hostname|hostaddr][:serivce|port]
说明: 46 IPv4 or IPv6
protocol TCP or UDP
hostname internet host name
hostaddr IPv4地址
service /etc/service中的service name
port 端口号
-l 此参数禁止将user ID 转换为登录的名称,默认是登录名称
+|-L [l] +或-表示开启或关闭显示文件连接数,如果只有单纯的+L,后面没有任何数字,则表示显示全部,如果后面有数字,只有文件连接数少于该数字的会被列出
-n 不将IP地址转换为hostname,预设是转换的
-N 显示NFS的文件
-p s 以PID作为显示的依据
-P 此参数禁止将port number转换为service name,预设为转换
+|-r [t] 控制lsof不断重复执行,t为15秒,也就是说每隔15秒再重复执行 +r 一直执行,直到没有文件被显示 -r 永远不断的执行,直到收到中断讯号(ctrl+ c)
-R 此参数增列出PID的子程序,也就是PPID
-s 列出文件的大小,若该文件没有大小,则留下空白
-u s 列出login name或UID为的程序
-v 显示lsof的版本信息
lsof命令的妙用:
当 UNIX 计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的活动事务日志。有时可以恢复这些文件,并且 lsof 可以为您提供帮助。
当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外,这个文件是不可见的,因为已经删除了其相应的目录条目。
# lsof | grep error_log
httpd 2452 root 2w REG 33,2 499 3090660
/var/log/httpd/error_log (deleted)
httpd 2452 root 7w REG 33,2 499 3090660
/var/log/httpd/error_log (deleted)
... more httpd processes ...
在这个示例中,您可以看到 PID 2452 打开文件的文件描述符为 2(标准错误)和 7。因此,可以在 /proc/2452/fd/7 中查看相应的信息,如清单 1 所示。
清单 1. 通过 /proc 查找删除的文件
# cat /proc/2452/fd/7
[Sun Apr 30 04:02:48 2006] [notice] Digest: generating secret for digest authentication
[Sun Apr 30 04:02:48 2006] [notice] Digest: done
[Sun Apr 30 04:02:48 2006] [notice] LDAP: Built with OpenLDAP LDAP SDK
Linux 的优点在于,它保存了文件的名称,甚至可以告诉我们它已经被删除。在遭到破坏的系统中查找相关内容时,这是非常有用的内容,因为攻击者通常会删除日志以隐藏他们的踪迹。Solaris 并不提供这些信息。然而,我们知道 httpd 守护进程使用了 error_log 文件,所以可以使用 ps 命令找到这个 PID,然后可以查看这个守护进程打开的所有文件。
分享到:
相关推荐
AIX lsof命令详解 lsof 命令是一种功能强大的实用程序,用于列出打开的文件,使系统管理员能够更好地了解系统的状态。通过 lsof,可以了解应用程序打开了哪些文件或者哪个应用程序打开了特定的文件,从而使得系统...
### Linux lsof 命令详解 #### 一、概述 `lsof`(list open files)是一个强大的命令行工具,用于显示当前系统中所有打开的文件、网络连接和设备的情况。在Linux环境中,几乎所有东西都可以被视为文件,包括常规...
**Linux lsof命令详解** lsof是一个强大的系统监控工具,它能列出当前系统中所有正在被进程打开的文件。在Linux系统中,一切皆为文件,包括网络连接、硬件设备等。lsof通过文件描述符来跟踪这些资源,帮助用户了解...
### Linux恢复删除文件的lsof命令详解 #### 一、引言 在日常的Linux系统管理和维护过程中,经常会遇到由于误操作导致重要文件被删除的情况。这些误删的文件可能包含重要的系统日志或者配置信息,对于系统的稳定运行...
#### 一、lsof命令简介 `lsof` 命令在Linux系统中扮演着极其重要的角色,它主要用于列出当前系统中所有已经打开的文件。这些文件可以是普通文件、设备文件、目录、套接字等。对于系统管理员来说,熟练掌握`lsof`...
《lsof在CentOS 7中的应用与详解》 在Linux系统管理中,了解和掌握各种命令行工具是至关重要的。今天我们将深入探讨的是`lsof`(List Open Files)命令,它是一个用于查看系统中打开文件的实用程序,尤其在故障排查、...
【IBM AIX操作系统命令详解】 IBM AIX,全称Advanced Interactive eXecutive,是IBM公司开发的一款基于UNIX系统的操作系统,广泛应用于企业级服务器和大型机。AIX提供了丰富的命令行工具,使得用户和管理员能够高效...
《lsof在HP-UX系统中的应用与详解》 在IT行业中,系统管理员和开发者经常需要对系统进行深入的监控和调试,以确保服务的稳定性和安全性。在这个过程中,`lsof`(list open files)命令是一个不可或缺的工具。`lsof-...
Centos查看端口占用情况命令,比如查看80端口占用情况使用如下命令: lsof -i tcp:80 列出所有端口 netstat -ntlp 1、开启端口(以80端口为例) 方法一: /sbin/iptables -I INPUT -p tcp --dport 80 -j...
Linux常用命令详解 Linux 操作系统是当今世界上最流行的开源操作系统之一,广泛应用于服务器、超级计算机、嵌入式系统等领域。 Linux 系统提供了丰富的命令行工具,方便用户对系统进行管理和维护。下面是 Linux 中...
linux 查看端口占用命令实例详解...直接用lsof命令可以查看端口使用情况! 以上就是对linux 查看端口占用命令的讲解,如有疑问请留言,或者到本站社区交流讨论,感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!
### Tomcat 在 Linux 上的部署命令详解 #### 一、Tomcat 启动与停止命令 **1. 启动 Tomcat** - **命令格式:** \[sh\] /path/to/tomcatX/bin/catalina.sh start - **示例:** ```bash sh /opt/tomcat6/bin/...
### Ubuntu Linux常用命令详解 #### 一、软件管理与系统维护命令 **1. 查看软件安装内容** - **命令**: `dpkg -L xxx` - 这个命令用于查看某个已安装软件包`xxx`的具体安装内容,包括文件路径等。 **2. 查找...