在Linux系統中使用lsof命令的教程
lsof是系統管理/安全的尤伯工具。我大多數時候用它來從系統獲得與網路連線相關的資訊,但那只是這個強大而又鮮為人知的應用的第一步。將這個工具稱之為lsof真實名副其實,因為它是指“列出開啟檔案(lists openfiles)”。而有一點要切記,在Unix中一切(包括網路套介面)都是檔案。
有趣的是,lsof也是有著最多開關的Linux/Unix命令之一。它有那麼多的開關,它有許多選項支援使用-和+字首。
usage: [-?abhlnNoOPRstUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]]
[-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+|-M] [-o [o]]
[-p s] [+|-r [t]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]
正如你所見,lsof有著實在是令人驚訝的選項數量。你可以使用它來獲得你係統上裝置的資訊,你能通過它瞭解到指定的使用者在指定的地點正在碰什麼東西,或者甚至是一個程序正在使用什麼檔案或網路連線。
對於我,lsof替代了netstat和ps的全部工作。它可以帶來那些工具所能帶來的一切,而且要比那些工具多得多。那麼,讓我們來看看它的一些基本能力吧:
關鍵選項
理解一些關於lsof如何工作的關鍵性東西是很重要的。最重要的是,當你給它傳遞選項時,預設行為是對結果進行“或”運算。因此,如果你正是用-i來拉出一個埠列表,同時又用-p來拉出一個程序列表,那麼預設情況下你會獲得兩者的結果。
下面的一些其它東西需要牢記:
預設 : 沒有選項,lsof列出活躍程序的所有開啟檔案
組合 : 可以將選項組合到一起,如-abc,但要當心哪些選項需要引數
-a : 結果進行“與”運算(而不是“或”)
-l : 在輸出顯示使用者ID而不是使用者名稱
-h : 獲得幫助
-t : 僅獲取程序ID
-U : 獲取UNIX套介面地址
-F : 格式化輸出結果,用於其它命令。可以通過多種方式格式化,如-F pcfn(用於程序id、命令名、檔案描述符、檔名,並以空終止)
獲取網路資訊
正如我所說的,我主要將lsof用於獲取關於系統怎麼和網路互動的資訊。這裡提供了關於此資訊的一些主題:
使用-i顯示所有連線
有些人喜歡用netstat來獲取網路連線,但是我更喜歡使用lsof來進行此項工作。結果以對我來說很直觀的方式呈現,我僅僅只需改變我的語法,就可以通過同樣的命令來獲取更多資訊。
# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
dhcpcd 6061 root 4u IPv4 4510 UDP *:bootpc
sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
sshd 7892 root 3u IPv6 6757 TCP :ssh-> (ESTABLISHED)
使用-i 6僅獲取IPv6流量
# lsof -i 6
僅顯示TCP連線(同理可獲得UDP連線)
你也可以通過在-i後提供對應的協議來僅僅顯示TCP或者UDP連線資訊。
# lsof -iTCP
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
sshd 7892 root 3u IPv6 6757 TCP :ssh-> (ESTABLISHED)
使用-i:port來顯示與指定埠相關的網路資訊
或者,你也可以通過埠搜尋,這對於要找出什麼阻止了另外一個應用繫結到指定埠實在是太棒了。
# lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
sshd 7892 root 3u IPv6 6757 TCP :ssh-> (ESTABLISHED)
使用@host來顯示指定到指定主機的連線
這對於你在檢查是否開放連線到網路中或網際網路上某個指定主機的連線時十分有用。
# lsof
sshd 7892 root 3u IPv6 6757 TCP :ssh-> (ESTABLISHED)
使用@host:port顯示基於主機與埠的`連線
你也可以組合主機與埠的顯示資訊。
# lsof
sshd 7892 root 3u IPv6 6757 TCP :ssh-> (ESTABLISHED)
找出監聽埠
找出正等候連線的埠。
# lsof -i -sTCP:LISTEN
你也可以grep “LISTEN”來完成該任務。
# lsof -i | grep -i LISTEN
iTunes 400 daniel 16u IPv4 0x4575228 0t0 TCP *:daap (LISTEN)
找出已建立的連線
你也可以顯示任何已經連線的連線。
# lsof -i -sTCP:ESTABLISHED
你也可以通過grep搜尋“ESTABLISHED”來完成該任務。
[/code]# lsof -i | grep -i ESTABLISHED
firefox-b 169 daniel 49u IPv4 0t0 TCP ->:http (ESTABLISHED)[/code]
使用者資訊
你也可以獲取各種使用者的資訊,以及它們在系統上正幹著的事情,包括它們的網路活動、對檔案的操作等。
使用-u顯示指定使用者打開了什麼
# lsof -u daniel
-- snipped --
Dock 155 daniel txt REG 14,2 2798436 823208 /usr/lib/b
Dock 155 daniel txt REG 14,2 1580212 823126 /usr/lib/b
Dock 155 daniel txt REG 14,2 2934184 823498 /usr/lib/libstdc++b
Dock 155 daniel txt REG 14,2 132008 823505 /usr/lib/libgcc_b
Dock 155 daniel txt REG 14,2 212160 823214 /usr/lib/b
-- snipped --
使用-u user來顯示除指定使用者以外的其它所有使用者所做的事情
# lsof -u ^daniel
-- snipped --
Dock 155 jim txt REG 14,2 2798436 823208 /usr/lib/b
Dock 155 jim txt REG 14,2 1580212 823126 /usr/lib/b
Dock 155 jim txt REG 14,2 2934184 823498 /usr/lib/libstdc++b
Dock 155 jim txt REG 14,2 132008 823505 /usr/lib/libgcc_b
Dock 155 jim txt REG 14,2 212160 823214 /usr/lib/b
-- snipped --
殺死指定使用者所做的一切事情
可以消滅指定使用者執行的所有東西,這真不錯。
# kill -9 `lsof -t -u daniel`
命令和程序
可以檢視指定程式或程序由什麼啟動,這通常會很有用,而你可以使用lsof通過名稱或程序ID過濾來完成這個任務。下面列出了一些選項:
使用-c檢視指定的命令正在使用的檔案和網路連線
# lsof -c syslog-ng
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslog-ng 7547 root cwd DIR 3,3 4096 2 /
syslog-ng 7547 root rtd DIR 3,3 4096 2 /
syslog-ng 7547 root txt REG 3,3 113524 1064970 /usr/sbin/syslog-ng
-- snipped --
使用-p檢視指定程序ID已開啟的內容
# lsof -p 10075
-- snipped --
sshd 10068 root mem REG 3,3 34808 850407 /lib/libnss_
sshd 10068 root mem REG 3,3 34924 850409 /lib/libnss_
sshd 10068 root mem REG 3,3 26596 850405 /lib/libnss_
sshd 10068 root mem REG 3,3 200152 509940 /usr/lib/
sshd 10068 root mem REG 3,3 46216 510014 /usr/lib/liblber-2.3
sshd 10068 root mem REG 3,3 59868 850413 /lib/
sshd 10068 root mem REG 3,3 1197180 850396 /lib/
sshd 10068 root mem REG 3,3 22168 850398 /lib/
sshd 10068 root mem REG 3,3 72784 850404 /lib/
sshd 10068 root mem REG 3,3 70632 850417 /lib/
sshd 10068 root mem REG 3,3 9992 850416 /lib/
-- snipped --
-t選項只返回PID
# lsof -t -c Mail
350
檔案和目錄
通過檢視指定檔案或目錄,你可以看到系統上所有正與其互動的資源——包括使用者、程序等。
顯示與指定目錄互動的所有一切
# lsof /var/log/messages/
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslog-ng 7547 root 4w REG 3,3 217309 834024 /var/log/messages
顯示與指定檔案互動的所有一切
# lsof /home/daniel/firewall_
高階用法
與tcpdump類似,當你開始組合查詢時,它就顯示了它強大的功能。
顯示daniel連線到所做的一切
# lsof -u daniel -i @
bkdr 1893 daniel 3u IPv6 3456 TCP -> (ESTABLISHED)
同時使用-t和-c選項以給程序傳送 HUP 訊號
# kill -HUP `lsof -t -c sshd`
lsof +L1顯示所有開啟的連結數小於1的檔案
這通常(當不總是)表示某個攻擊者正嘗試通過刪除檔案入口來隱藏檔案內容。
# lsof +L1
(hopefully nothing)
顯示某個埠範圍的開啟的連線
# lsof -i @=2180
