Linux系统下强大的lsof命令使用宝典(linux大型软件)

推荐整理分享Linux系统下强大的lsof命令使用宝典(linux大型软件)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:linux系统的软件有哪些,请问linux,linux最好的,linux系统软件大全,linux大型软件,linux最好的,linux最好的,linux系统 推荐,内容如对您有帮助，希望把文章链接给更多的朋友！

lsof命令简介：lsof（list open files）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以，lsof的功能很强大。一般root用户才能执行lsof命令，普通用户可以看见/usr/sbin/lsof命令，但是普通用户执行会显示“permission denied”。因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

有趣的是，lsof也是有着最多开关的Linux/Unix命令之一。它有那么多的开关，它有许多选项支持使用-和+前缀。

usage: [-?abhlnNoOPRstUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]] [-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+|-M] [-o [o]] [-p s] [+|-r [t]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]正如你所见，lsof有着实在是令人惊讶的选项数量。你可以使用它来获得你系统上设备的信息，你能通过它了解到指定的用户在指定的地点正在碰什么东西，或者甚至是一个进程正在使用什么文件或网络连接。对于我，lsof替代了netstat和ps的全部工作。它可以带来那些工具所能带来的一切，而且要比那些工具多得多。那么，让我们来看看它的一些基本能力吧： 在终端下输入lsof即可显示系统打开的文件，因为 lsof 需要访问核心内存和各种文件，所以必须以 root 用户的身份运行它才能够充分地发挥其功能。

每行显示一个打开的文件，若不指定条件默认将显示所有进程打开的所有文件。lsof输出各列信息的意义如下： COMMAND：进程的名称PID：进程标识符USER：进程所有者FD：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等TYPE：文件类型，如DIR、REG等DEVICE：指定磁盘的名称SIZE：文件的大小NODE：索引节点（文件在磁盘上的标识）NAME：打开文件的确切名称 lsof指令的用法如下：lsof abc.txt 显示开启文件abc.txt的进程lsof 目录名 查找谁在使用文件目录系统

关键选项理解一些关于lsof如何工作的关键性东西是很重要的。最重要的是，当你给它传递选项时，默认行为是对结果进行“或”运算。因此，如果你正是用-i来拉出一个端口列表，同时又用-p来拉出一个进程列表，那么默认情况下你会获得两者的结果。下面的一些其它东西需要牢记：默认 : 没有选项，lsof列出活跃进程的所有打开文件组合 : 可以将选项组合到一起，如-abc，但要当心哪些选项需要参数-a : 结果进行“与”运算（而不是“或”）-l : 在输出显示用户ID而不是用户名-h : 获得帮助-t : 仅获取进程ID-U : 获取UNIX套接口地址-F : 格式化输出结果，用于其它命令。可以通过多种方式格式化，如-F pcfn（用于进程id、命令名、文件描述符、文件名，并以空终止）

获取网络信息正如我所说的，我主要将lsof用于获取关于系统怎么和网络交互的信息。这里提供了关于此信息的一些主题：使用-i显示所有连接有些人喜欢用netstat来获取网络连接，但是我更喜欢使用lsof来进行此项工作。结果以对我来说很直观的方式呈现，我仅仅只需改变我的语法，就可以通过同样的命令来获取更多信息。复制代码代码如下:# lsof -iCOMMAND PID USER FD TYPE DEVICE SIZE NODE NAMEdhcpcd root 4u IPv4 UDP *:bootpcsshd root 3u IPv6 TCP *:ssh (LISTEN)sshd root 3u IPv6 TCP ..1.5:ssh->..1.5: (ESTABLISHED)使用-i 6仅获取IPv6流量复制代码代码如下:# lsof -i 6仅显示TCP连接（同理可获得UDP连接）你也可以通过在-i后提供对应的协议来仅仅显示TCP或者UDP连接信息。复制代码代码如下:# lsof -iTCPCOMMAND PID USER FD TYPE DEVICE SIZE NODE NAMEsshd root 3u IPv6 TCP *:ssh (LISTEN)sshd root 3u IPv6 TCP ..1.5:ssh->..1.5: (ESTABLISHED)使用-i:port来显示与指定端口相关的网络信息或者，你也可以通过端口搜索，这对于要找出什么阻止了另外一个应用绑定到指定端口实在是太棒了。复制代码代码如下:# lsof -i :COMMAND PID USER FD TYPE DEVICE SIZE NODE NAMEsshd root 3u IPv6 TCP *:ssh (LISTEN)sshd root 3u IPv6 TCP ..1.5:ssh->..1.5: (ESTABLISHED)使用@host来显示指定到指定主机的连接这对于你在检查是否开放连接到网络中或互联网上某个指定主机的连接时十分有用。复制代码代码如下:# lsof -i@...5sshd root 3u IPv6 TCP ..1.5:ssh->...5: (ESTABLISHED)使用@host:port显示基于主机与端口的连接你也可以组合主机与端口的显示信息。复制代码代码如下:# lsof -i@...5:sshd root 3u IPv6 TCP ..1.5:ssh->...5: (ESTABLISHED)找出监听端口找出正等候连接的端口。复制代码代码如下:# lsof -i -sTCP:LISTEN你也可以grep “LISTEN”来完成该任务。复制代码代码如下:# lsof -i | grep -i LISTENiTunes daniel u IPv4 0x 0t0 TCP *:daap (LISTEN)找出已建立的连接你也可以显示任何已经连接的连接。复制代码代码如下:# lsof -i -sTCP:ESTABLISHED你也可以通过grep搜索“ESTABLISHED”来完成该任务。复制代码代码如下:# lsof -i | grep -i ESTABLISHEDfirefox-b daniel u IPv4 0t0 TCP 1.2.3.3:->1.2.3.4:http (ESTABLISHED)

用户信息你也可以获取各种用户的信息，以及它们在系统上正干着的事情，包括它们的网络活动、对文件的操作等。使用-u显示指定用户打开了什么复制代码代码如下:# lsof -u daniel-- snipped -- Dock daniel txt REG ,2 /usr/lib/libicucore.A.dylib Dock daniel txt REG ,2 /usr/lib/libobjc.A.dylib Dock daniel txt REG ,2 /usr/lib/libstdc++.6.0.4.dylib Dock daniel txt REG ,2 /usr/lib/libgcc_s.1.dylib Dock daniel txt REG ,2 /usr/lib/libauto.dylib -- snipped --使用-u user来显示除指定用户以外的其它所有用户所做的事情复制代码代码如下:# lsof -u ^daniel-- snipped -- Dock jim txt REG ,2 /usr/lib/libicucore.A.dylib Dock jim txt REG ,2 /usr/lib/libobjc.A.dylib Dock jim txt REG ,2 /usr/lib/libstdc++.6.0.4.dylib Dock jim txt REG ,2 /usr/lib/libgcc_s.1.dylib Dock jim txt REG ,2 /usr/lib/libauto.dylib -- snipped --杀死指定用户所做的一切事情可以消灭指定用户运行的所有东西，这真不错。复制代码代码如下:# kill -9 `lsof -t -u daniel`

命令和进程可以查看指定程序或进程由什么启动，这通常会很有用，而你可以使用lsof通过名称或进程ID过滤来完成这个任务。下面列出了一些选项：使用-c查看指定的命令正在使用的文件和网络连接复制代码代码如下:# lsof -c syslog-ngCOMMAND PID USER FD TYPE DEVICE SIZE NODE NAME syslog-ng root cwd DIR 3,3 2 / syslog-ng root rtd DIR 3,3 2 / syslog-ng root txt REG 3,3 /usr/sbin/syslog-ng -- snipped --使用-p查看指定进程ID已打开的内容复制代码代码如下:# lsof -p -- snipped -- sshd root mem REG 3,3 /lib/libnss_files-2.4.so sshd root mem REG 3,3 /lib/libnss_nis-2.4.so sshd root mem REG 3,3 /lib/libnss_compat-2.4.so sshd root mem REG 3,3 /usr/lib/libssl.so.0.9.7 sshd root mem REG 3,3 /usr/lib/liblber-2.3 sshd root mem REG 3,3 /lib/libresolv-2.4.so sshd root mem REG 3,3 /lib/libc-2.4.so sshd root mem REG 3,3 /lib/libcrypt-2.4.so sshd root mem REG 3,3 /lib/libnsl-2.4.so sshd root mem REG 3,3 /lib/libz.so.1.2.3 sshd root mem REG 3,3 /lib/libutil-2.4.so -- snipped ---t选项只返回PID复制代码代码如下:# lsof -t -c Mail

文件和目录通过查看指定文件或目录，你可以看到系统上所有正与其交互的资源——包括用户、进程等。显示与指定目录交互的所有一切复制代码代码如下:# lsof /var/log/messages/COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME syslog-ng root 4w REG 3,3 /var/log/messages显示与指定文件交互的所有一切复制代码代码如下:# lsof /home/daniel/firewall_whitelist.txt高级用法与tcpdump类似，当你开始组合查询时，它就显示了它强大的功能。显示daniel连接到1.1.1.1所做的一切复制代码代码如下:# lsof -u daniel -i @1.1.1.1bkdr daniel 3u IPv6 TCP ..1.:->1.1.1.1: (ESTABLISHED)同时使用-t和-c选项以给进程发送 HUP 信号复制代码代码如下:# kill -HUP `lsof -t -c sshd`lsof +L1显示所有打开的链接数小于1的文件这通常（当不总是）表示某个攻击者正尝试通过删除文件入口来隐藏文件内容。复制代码代码如下:# lsof +L1(hopefully nothing)显示某个端口范围的打开的连接复制代码代码如下:# lsof -i @fw.google.com:=

结尾本入门教程只是管窥了lsof功能的一斑，要查看完整参考，运行man lsof命令或查看在线版本。希望本文对你有所助益，也随时欢迎你的评论和指正。

Linux系统中查杀僵尸进程的基本方法讲解 在UNIX系统中,一个进程结束了,但是他的父进程没有等待(调用wait/waitpid)他,那么他将变成一个僵尸进程.在fork()/execve()过程中，假设子进程结束时父进程仍

linux系统常用命令有哪些? semicolon命令的使用方法 这里介绍几个Linux的常用命令当在同一行的2个命令使用semicolon也就是分号;分隔时，表示第一个command将在后一个command开始时完成，例如ls-F/etc；ls-F/homeLin

在Linux系统中安装web端的远程连接工具Wetty Wetty是什么?Wetty=Web+tty作为系统管理员，如果你是在Linux桌面下，你可以用它像一个GNOME终端（或类似的）一样来连接远程服务器；如果你是在Windows下，