linux的lsof命令,linux lsof命令详解

Linux 命令神器：lsof

lsof是系统管理/安全的管理工具。将这个工具称之为lsof真实名副其实，因为它是指“ 列出打开文件（lists openfiles） ”。而有一点要切记，在Unix中一切（包括网络套接口）都是文件。

成都创新互联公司专注于鄂伦春网站建设服务及定制，我们拥有丰富的企业做网站经验。 热诚为您提供鄂伦春营销型网站建设，鄂伦春网站制作、鄂伦春网页设计、鄂伦春网站官网定制、成都微信小程序服务，打造鄂伦春网络公司原创品牌,更为您提供鄂伦春网站排名全网营销落地服务。

有趣的是，lsof也是有着最多开关的Linux/Unix命令之一。它有那么多的开关，它有许多选项支持使用-和+前缀。

正如你所见，lsof有着实在是令人惊讶的选项数量。你可以使用它来获得你系统上设备的信息，你能通过它了解到指定的用户在指定的地点正在碰什么东西，或者甚至是一个进程正在使用什么文件或网络连接。

对于我，lsof替代了netstat和ps的全部工作。它可以带来那些工具所能带来的一切，而且要比那些工具多得多。那么，让我们来看看它的一些基本能力吧：

理解一些关于lsof如何工作的关键性东西是很重要的。最重要的是，当你给它传递选项时，默认行为是对结果进行“或”运算。因此，如果你正是用-i来拉出一个端口列表，同时又用-p来拉出一个进程列表，那么默认情况下你会获得两者的结果。

下面的一些其它东西需要牢记：

正如我所说的，我主要将lsof用于获取关于系统怎么和网络交互的信息。这里提供了关于此信息的一些主题：

有些人喜欢用netstat来获取网络连接，但是我更喜欢使用lsof来进行此项工作。结果以对我来说很直观的方式呈现，我仅仅只需改变我的语法，就可以通过同样的命令来获取更多信息。

语法: lsof -i[46] [protocol][@hostname|hostaddr][:service|port]

你也可以通过在-i后提供对应的协议来仅仅显示TCP或者UDP连接信息。

或者，你也可以通过端口搜索，这对于要找出什么阻止了另外一个应用绑定到指定端口实在是太棒了。

这对于你在检查是否开放连接到网络中或互联网上某个指定主机的连接时十分有用。

你也可以组合主机与端口的显示信息。

找出正等候连接的端口。

你也可以grep “LISTEN”来完成该任务。

你也可以显示任何已经连接的连接。

你也可以通过grep搜索“ESTABLISHED”来完成该任务。

你也可以获取各种用户的信息，以及它们在系统上正干着的事情，包括它们的网络活动、对文件的操作等。

可以消灭指定用户运行的所有东西，这真不错。

可以查看指定程序或进程由什么启动，这通常会很有用，而你可以使用lsof通过名称或进程ID过滤来完成这个任务。下面列出了一些选项：

通过查看指定文件或目录，你可以看到系统上所有正与其交互的资源——包括用户、进程等。

与tcpdump类似，当你开始组合查询时，它就显示了它强大的功能。

这通常（当不总是）表示某个攻击者正尝试通过删除文件入口来隐藏文件内容。

本入门教程只是管窥了lsof功能的一斑，要查看完整参考，运行man lsof命令或查看在线版本。

我总结一下lsof指令的用法：

lsof abc.txt 显示开启文件abc.txt的进程

lsof -i :22 知道22端口现在运行什么程序

lsof -c abc 显示abc进程现在打开的文件

lsof -g gid 显示归属gid的进程情况

lsof +d /usr/local/ 显示目录下被进程开启的文件

lsof +D /usr/local/ 同上，但是会搜索目录下的目录，时间较长

lsof -d 4 显示使用fd为4的进程

lsof -i 用以显示符合条件的进程情况

lsof -p 12 看进程号为12的进程打开了哪些文件

lsof +|-r [t] 控制lsof不断重复执行，缺省是15s刷新

-r，lsof会永远不断的执行，直到收到中断信号

+r，lsof会一直执行，直到没有档案被显示

linux查看端口占用情况

一、常用命令：

1，lsof -i端口号

2，netstat -tunlp|grep 端口号

这两个命令都可以查看端口被什么进程占用。

二、lsof -i 需要 root 用户的权限来执行，如下图：

三、netstat命令

netstat -tunlp 用于显示 tcp，udp 的端口和进程等相关情况。

netstat 查看端口占用语法格式：

netstat -tunlp | grep 端口号

扩展资料

一、更多 lsof 的命令扩展

1、lsof -i:8080：查看8080端口占用

2、lsof abc.txt：显示开启文件abc.txt的进程

3、lsof -c abc：显示abc进程现在打开的文件

4、lsof -c -p 1234：列出进程号为1234的进程所打开的文件

5、lsof -g gid：显示归属gid的进程情况

6、lsof +d /usr/local/：显示目录下被进程开启的文件

7、lsof +D /usr/local/：同上，但是会搜索目录下的目录，时间较长

8、lsof -d 4：显示使用fd为4的进程

9、lsof -i -U：显示所有打开的端口和UNIX domain文件

二、更多netstat命令

1、netstat -ntlp   //查看当前所有tcp端口

2、netstat -ntulp | grep 80   //查看所有80端口使用情况

3、netstat -ntulp | grep 3306   //查看所有3306端口使用情况

三、关闭端口

1、在查到端口占用的进程后，如果你要杀掉对应的进程可以使用 kill 命令：

kill -9 PID

2、如上实例，我们看到 8000 端口对应的 PID 为 26993，使用以下命令杀死进程：

kill -9 26993

Linux如何查看端口是否被占用

Linux如何查看端口是否被占用?下面为大家推荐两种检测方法，对Linux系统不熟悉的小伙伴可以看看。

1、使用lsof命令

lsof是一个非常强大的linux工具，她被用来查找哪些程序使用了那些文件。在linux系统下，基本上所有的东西都可以被当作文件来用。socket当然也是一种文件了。所以lsof可以用来查找谁用了某一个端口。

具体方法：lsof -i :port_number |grep "(LISTEN)"

-i是用来查找和网络相关的文件，":"号是必须的，它是标志你查找的是一个端口。port_number就是你要查找的端口号，譬如你要查找是否 有程序占用了oracle的监听端口1521,就可以使用lsof -i :1521 |grep "(LISTEN)"。如果有程序已经占用了，那么下面打印的第二个字段就是该程序的进程id，第一个字段是进程的名字。

如果只有losf -i :port_number可能会查到很多应用程序，但这些程序实际并没有占用你指定的端口，这些端口只是连接到本机器或者别的机器的该端口。所以要grep "(LISTEN)“，因为一个端口只可能被一个程序占用的，所以这种方法是可靠的。

2、使用netstat 命令

大家一定对这个命令比较熟悉了，可能你从没有想到用到来查找哪一个程序的占用了指定的端口。但是netstat -an 的确提供了这种功能。所以有问题了一定要想到先去查找man手册，不过说实话，某些man手册写得让中国人看不懂，那没有办法了，就googe或者 baidu一下吧。

执行man netstat命令，你会发现netstat 提供了'-p'的选项，这个选项的功能是告诉你哪个程序占用了该端口，但是她提供的.形式比较古怪是以pid/process_name提供的。pid当然 是进程id了，process_name是进程的命令，中间以'/'号分隔。

和上面的原因一样，我们只查找listen的端口，netstat 给我们提供了-l的选项，这个选项不是默认的选项。

下面以1521端口来看怎么查找到该程序，我们使用下面的命令：netstat -lnp|awk 'BEGIN{prt=":1521$"}{if ($4 ~ prt) print $0}'在这里使用awk来匹配第4个字段的模式是为了避免误判。

linux lsof命令详解

lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

在终端下输入lsof即可显示系统打开的文件，因为 lsof 需要访问核心内存和各种文件，所以必须以 root 用户的身份运行它才能够充分地发挥其功能。

直接输入lsof部分输出为:

每行显示一个打开的文件，若不指定条件默认将显示所有进程打开的所有文件。

lsof输出各列信息的意义如下：

COMMAND：进程的名称 PID：进程标识符

USER：进程所有者

FD：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等 TYPE：文件类型，如DIR、REG等

DEVICE：指定磁盘的名称

SIZE：文件的大小

NODE：索引节点（文件在磁盘上的标识）

NAME：打开文件的确切名称

FD 列中的文件描述符cwd 值表示应用程序的当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改,txt 类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的 /sbin/init 程序。

其次数值表示应用程序的文件描述符，这是打开该文件时返回的一个整数。如上的最后一行文件/dev/initctl，其文件描述符为 10。u 表示该文件被打开并处于读取/写入模式，而不是只读 或只写 (w) 模式。同时还有大写 的W 表示该应用程序具有对整个文件的写锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时，都具有三个文件描述符，从 0 到 2，分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件的 FD 都是从 3 开始。

与 FD 列相比，Type 列则比较直观。文件和目录分别称为 REG 和 DIR。而CHR 和 BLK，分别表示字符和块设备；或者 UNIX、FIFO 和 IPv4，分别表示 UNIX 域套接字、先进先出 (FIFO) 队列和网际协议 (IP) 套接字。

lsof语法格式是： lsof ［options］ filename

查找谁在使用文件系统

在卸载文件系统时，如果该文件系统中有任何打开的文件，操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统，如下： # lsof /GTES11/ COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME bash 4208 root cwd DIR 3,1 4096 2 /GTES11/ vim 4230 root cwd DIR 3,1 4096 2 /GTES11/ 在这个示例中，用户root正在其/GTES11目录中进行一些操作。一个 bash是实例正在运行，并且它当前的目录为/GTES11，另一个则显示的是vim正在编辑/GTES11下的文件。要成功地卸载/GTES11，应该在通知用户以确保情况正常之后，中止这些进程。 这个示例说明了应用程序的当前工作目录非常重要，因为它仍保持着文件资源，并且可以防止文件系统被卸载。这就是为什么大部分守护进程（后台进程）将它们的目录更改为根目录、或服务特定的目录（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免该守护进程阻止卸载不相关的文件系统。

恢复删除的文件

当Linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。 当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。 在/proc 目录下，其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域，所以这些文件和目录并不存在于磁盘中，因此当我们对这些文件进行读取和写入时，实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中，即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof 可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。 当系统中的某个文件被意外地删除了，只要这个时候系统中还有进程正在访问该文件，那么我们就可以通过lsof从/proc目录下恢复该文件的内容。 假如由于误操作将/var/log/messages文件删除掉了，那么这时要将/var/log/messages文件恢复的方法如下： 首先使用lsof来查看当前是否有进程打开/var/logmessages文件，如下： # lsof |grep /var/log/messages syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted) 从上面的信息可以看到 PID 1283（syslogd）打开文件的文件描述符为 2。同时还可以看到/var/log/messages已经标记被删除了。因此我们可以在 /proc/1283/fd/2 （fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下： # head -n 10 /proc/1283/fd/2 Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart. Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started. Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007 Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map: Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved) 从上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据，那么就可以使用 I/O 重定向将其复制到文件中，如: cat /proc/1283/fd/2 /var/log/messages 对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。

可以列出被 进程 所 打开 的 文件 的信息。被打开的文件可以是

1.普通的文件，2.目录 3.网络文件系统的文件，4.字符设备文件 5.(函数)共享库 6.管道，命名管道 7.符号链接

8.底层的socket字流，网络socket， unix 域名socket

9.在 linux 里面，大部分的东西都是被当做文件的…..还有其他很多

怎样使用lsof

这里主要用案例的形式来介绍lsof 命令的 使用

1.列出所有打开的文件:

lsof

备注: 如果不加任何参数，就会打开所有被打开的文件，建议加上一下参数来具体定位

2. 查看 谁正在使用某个文件

lsof /filepath/file

3.递归查看某个目录的文件信息

lsof +D /filepath/filepath2/

备注: 使用了+D，对应目录下的所有子目录和文件都会被列出

4. 比使用+D选项，遍历查看某个目录的所有文件信息 的方法

lsof | grep ‘/filepath/filepath2/’

5. 列出某个用户打开的文件信息

lsof -u username

备注: -u 选项，u其实是user的缩写

6. 列出某个程序所打开的文件信息

lsof -c mysql

备注: -c 选项将会列出所有以mysql开头的程序的文件，其实你也可以写成 lsof | grep mysql, 但是第一种方法明显比第二种方法要少打几个字符了

7. 列出多个程序多打开的文件信息

lsof -c mysql -c apache

8. 列出某个用户以及某个程序所打开的文件信息

lsof -u test -c mysql

9. 列出除了某个用户外的被打开的文件信息

lsof -u ^root

备注：^这个符号在用户名之前，将会把是root用户打开的进程不让显示

10. 通过某个进程号显示该进行打开的文件

lsof -p 1

11. 列出多个进程号对应的文件信息

lsof -p 123,456,789

12. 列出除了某个进程号，其他进程号所打开的文件信息

lsof -p ^1

13 . 列出所有的网络连接

lsof -i

14. 列出所有tcp 网络连接信息

lsof -i tcp

15. 列出所有udp网络连接信息

lsof -i udp

16. 列出谁在使用某个端口

lsof -i :3306

17. 列出谁在使用某个特定的udp端口

lsof -i udp:55

特定的tcp端口

lsof -i tcp:80

18. 列出某个用户的所有活跃的网络端口

lsof -a -u test -i

19. 列出所有网络文件系统

lsof -N

20.域名socket文件

lsof -u

21.某个用户组所打开的文件信息

lsof -g 5555

22. 根据文件描述列出对应的文件信息

lsof -d description(like 2)

23. 根据文件描述范围列出文件信息

lsof -d 2-3

实用命令

linux 常见命令 lsof,ps,ln...

[TOC]

可以列出被进程所打开的文件的信息。被打开的文件可以是

1.普通的文件

2.目录抽象为特殊文件

3.网络文件系统的文件，抽象为文件

4.字符设备文件在linux抽象为文件

5.(函数)共享库

6.管道，命名管道

7.符号链接

8.底层的socket字流，网络socket，unix域名socket

9.在linux里面，很多东西都抽象为文件，提供了统一的访问接口

属性第一个字符：

rwx=0x111,二进制表示

列出所有进程

-ef f:father

ps –el ,

e:every :显示所有进程信息，等价于A

a:all :显示除了当前终端进程外的其他进程

l: long 长格式显示进程信息。

linux 线程状态：

ps工具标识进程的5种状态码:

chmod 对象 +/- 模式

对象：u(user),g(group),o(other),a(all)

模式：r,w,x

由于inode号码与文件名分离，这种机制导致了一些Unix/Linux系统特有的现象。

软件不关闭情况下更新：写入同名不同inode的文件，下次启动由于老的inode已经丢失，操作系统回收原来的Block。

综上，总结一下软链接和硬链接的区别：

参考： 阮一峰的网络日志:理解inode

Ctrl+z 暂停进程执行

uname -m 显示机器的处理器架构(2)

uname -r 显示正在使用的内核版本

jobs: 查看后台任务

fg +jobNum： 将后台任务调到前台

未完，不定期更新中...