lsof命令簡(jiǎn)介：
lsof（list open files）是一個(gè)列出當(dāng)前系統(tǒng)打開文件的工具。在linux環(huán)境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規(guī)數(shù)據(jù)，還可以訪問網(wǎng)絡(luò)連接和硬件。所以，lsof的功能很強(qiáng)大。一般root用戶才能執(zhí)行l(wèi)sof命令，普通用戶可以看見/usr/sbin/lsof命令，但是普通用戶執(zhí)行會(huì)顯示“permission denied”。因此通過lsof工具能夠查看這個(gè)列表對(duì)系統(tǒng)監(jiān)測(cè)以及排錯(cuò)將是很有幫助的。

有趣的是，lsof也是有著最多開關(guān)的Linux/Unix命令之一。它有那么多的開關(guān)，它有許多選項(xiàng)支持使用-和+前綴。

usage: [-?abhlnNoOPRstUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]]
[-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+|-M] [-o [o]]
[-p s] [+|-r [t]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]
正如你所見，lsof有著實(shí)在是令人驚訝的選項(xiàng)數(shù)量。你可以使用它來獲得你系統(tǒng)上設(shè)備的信息，你能通過它了解到指定的用戶在指定的地點(diǎn)正在碰什么東西，或者甚至是一個(gè)進(jìn)程正在使用什么文件或網(wǎng)絡(luò)連接。
對(duì)于我，lsof替代了netstat和ps的全部工作。它可以帶來那些工具所能帶來的一切，而且要比那些工具多得多。那么，讓我們來看看它的一些基本能力吧：

在終端下輸入lsof即可顯示系統(tǒng)打開的文件，因?yàn)?lsof 需要訪問核心內(nèi)存和各種文件，所以必須以 root 用戶的身份運(yùn)行它才能夠充分地發(fā)揮其功能。

每行顯示一個(gè)打開的文件，若不指定條件默認(rèn)將顯示所有進(jìn)程打開的所有文件。lsof輸出各列信息的意義如下：
COMMAND：進(jìn)程的名稱
PID：進(jìn)程標(biāo)識(shí)符
USER：進(jìn)程所有者
FD：文件描述符，應(yīng)用程序通過文件描述符識(shí)別該文件。如cwd、txt等
TYPE：文件類型，如DIR、REG等
DEVICE：指定磁盤的名稱
SIZE：文件的大小
NODE：索引節(jié)點(diǎn)（文件在磁盤上的標(biāo)識(shí)）
NAME：打開文件的確切名稱

lsof指令的用法如下：
lsof abc.txt 顯示開啟文件abc.txt的進(jìn)程
lsof 目錄名 查找誰在使用文件目錄系統(tǒng)

關(guān)鍵選項(xiàng)
理解一些關(guān)于lsof如何工作的關(guān)鍵性東西是很重要的。最重要的是，當(dāng)你給它傳遞選項(xiàng)時(shí)，默認(rèn)行為是對(duì)結(jié)果進(jìn)行“或”運(yùn)算。因此，如果你正是用-i來拉出一個(gè)端口列表，同時(shí)又用-p來拉出一個(gè)進(jìn)程列表，那么默認(rèn)情況下你會(huì)獲得兩者的結(jié)果。
下面的一些其它東西需要牢記：
默認(rèn) : 沒有選項(xiàng)，lsof列出活躍進(jìn)程的所有打開文件
組合 : 可以將選項(xiàng)組合到一起，如-abc，但要當(dāng)心哪些選項(xiàng)需要參數(shù)
-a : 結(jié)果進(jìn)行“與”運(yùn)算（而不是“或”）
-l : 在輸出顯示用戶ID而不是用戶名
-h : 獲得幫助
-t : 僅獲取進(jìn)程ID
-U : 獲取UNIX套接口地址
-F : 格式化輸出結(jié)果，用于其它命令?？梢酝ㄟ^多種方式格式化，如-F pcfn（用于進(jìn)程id、命令名、文件描述符、文件名，并以空終止）

獲取網(wǎng)絡(luò)信息
正如我所說的，我主要將lsof用于獲取關(guān)于系統(tǒng)怎么和網(wǎng)絡(luò)交互的信息。這里提供了關(guān)于此信息的一些主題：
使用-i顯示所有連接
有些人喜歡用netstat來獲取網(wǎng)絡(luò)連接，但是我更喜歡使用lsof來進(jìn)行此項(xiàng)工作。結(jié)果以對(duì)我來說很直觀的方式呈現(xiàn)，我僅僅只需改變我的語法，就可以通過同樣的命令來獲取更多信息。

使用-i 6僅獲取IPv6流量


僅顯示TCP連接（同理可獲得UDP連接）
你也可以通過在-i后提供對(duì)應(yīng)的協(xié)議來僅僅顯示TCP或者UDP連接信息。


使用-i:port來顯示與指定端口相關(guān)的網(wǎng)絡(luò)信息
或者，你也可以通過端口搜索，這對(duì)于要找出什么阻止了另外一個(gè)應(yīng)用綁定到指定端口實(shí)在是太棒了。


使用@host來顯示指定到指定主機(jī)的連接
這對(duì)于你在檢查是否開放連接到網(wǎng)絡(luò)中或互聯(lián)網(wǎng)上某個(gè)指定主機(jī)的連接時(shí)十分有用。


使用@host:port顯示基于主機(jī)與端口的連接
你也可以組合主機(jī)與端口的顯示信息。


找出監(jiān)聽端口
找出正等候連接的端口。


你也可以grep “LISTEN”來完成該任務(wù)。


找出已建立的連接
你也可以顯示任何已經(jīng)連接的連接。


你也可以通過grep搜索“ESTABLISHED”來完成該任務(wù)。

用戶信息
你也可以獲取各種用戶的信息，以及它們?cè)谙到y(tǒng)上正干著的事情，包括它們的網(wǎng)絡(luò)活動(dòng)、對(duì)文件的操作等。
使用-u顯示指定用戶打開了什么

使用-u user來顯示除指定用戶以外的其它所有用戶所做的事情


殺死指定用戶所做的一切事情
可以消滅指定用戶運(yùn)行的所有東西，這真不錯(cuò)。

命令和進(jìn)程
可以查看指定程序或進(jìn)程由什么啟動(dòng)，這通常會(huì)很有用，而你可以使用lsof通過名稱或進(jìn)程ID過濾來完成這個(gè)任務(wù)。下面列出了一些選項(xiàng)：
使用-c查看指定的命令正在使用的文件和網(wǎng)絡(luò)連接

使用-p查看指定進(jìn)程ID已打開的內(nèi)容


-t選項(xiàng)只返回PID

文件和目錄
通過查看指定文件或目錄，你可以看到系統(tǒng)上所有正與其交互的資源——包括用戶、進(jìn)程等。
顯示與指定目錄交互的所有一切

顯示與指定文件交互的所有一切


高級(jí)用法
與tcpdump類似，當(dāng)你開始組合查詢時(shí)，它就顯示了它強(qiáng)大的功能。
顯示daniel連接到1.1.1.1所做的一切


同時(shí)使用-t和-c選項(xiàng)以給進(jìn)程發(fā)送 HUP 信號(hào)


lsof +L1顯示所有打開的鏈接數(shù)小于1的文件
這通常（當(dāng)不總是）表示某個(gè)攻擊者正嘗試通過刪除文件入口來隱藏文件內(nèi)容。


(hopefully nothing)
顯示某個(gè)端口范圍的打開的連接

結(jié)尾
本入門教程只是管窺了lsof功能的一斑，要查看完整參考，運(yùn)行man lsof命令或查看在線版本。希望本文對(duì)你有所助益，也隨時(shí)歡迎你的評(píng)論和指正。

美國(guó)服務(wù)器租用

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。