linux命令lsof&可以恢复被误删的文件

写在前面:本文参考了博客 https://www.cnblogs.com/the-study-of-linux/p/5501593.html

lsof (list open files)是一个列出当前系统进程打开文件的工具。在linux系统环境下,任何事物都可以以文件形式存在,通过文件不仅可以访问常规的数据,还可以访问网络连接和硬件。
适应条件:lsof访问的是核心文件和各种文件,所以必须以root用户的身份运行才能充分发挥其功能。


lsof [选项] [绝对路径的文件名]
初始打开每个应用程序时,都具有三个文件描述符,从0到2,分别表示标准输入、输出和错误流。

[root@localhost ~]# lsof /usr/sbin/httpd
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
httpd 6279 root txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6281 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6282 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
一、介绍lsof命令的返回结果
每行显示一个打开的文件,默认如果后面不跟任何东西,将打开系统打开的所有文件
COMMAND :进程名称
PID:进程标识符
USER:进程所有者
FD:文件描述符,应用程序通过文件描述符识别到该文件。如cwd、txt等
TYPE:文件类型,如DIR,REG
DEVICE:指定磁盘名称
SIZE:文件大小
NODE:索引节点(文件在磁盘上的标识)
NAME:打开文件的确切名称
补充:FD列中的文件描述cwd值表示应用程序的当前工作目录,这是该程序启动的目录,除非它本身对这个目录进行更改。txt类型的是程序代码,如应用程序二进制文件本身或者共享库。其
次数值表示应用程序的文件描述符,这是打开文件时一个返回的一个整数。
lsof 6660 root 0u CHR 136,0 0t0 3 /dev/pts/0 //标准输入
lsof 6660 root 1u CHR 136,0 0t0 3 /dev/pts/0//标准输出
lsof 6660 root 2u CHR 136,0 0t0 3 /dev/pts/0//错误流
lsof 6660 root 3r DIR 0,3 0 1 /proc
lsof 6660 root 4r DIR 0,3 0 36358 /proc/6660/fd
lsof 6660 root 5w FIFO 0,8 0t0 36363 pipe
lsof 6660 root 6r FIFO 0,8 0t0 36364 pipe
lsof 6661 root cwd DIR 8,2 4096 130562 /root
lsof 6661 root rtd DIR 8,2 4096 2 /
lsof 6661 root txt REG 8,2 154356 415242 /usr/sbin/lsof
lsof 6661 root mem REG 8,2 1907156 914957 /lib/libc-2.12.so
lsof 6661 root mem REG 8,2 17892 914963 /lib/libdl-2.12.so
lsof 6661 root mem REG 8,2 141080 914950 /lib/ld-2.12.so
lsof 6661 root mem REG 8,2 120780 915040 /lib/libselinux.so.1
lsof 6661 root mem REG 8,2 99154448 395123 /usr/lib/locale/locale-archive
lsof 6661 root 4r FIFO 0,8 0t0 36363 pipe
lsof 6661 root 7w FIFO 0,8 0t0 36364 pipe
其中u表示该文件被打开处于读取\写入模式,而不是只读或只写模式;
    r 只读 ; w 只写 ;W表示该应用程序具有对整个文件的写锁(确保每次只能打开一次应用程序实例)
初始打开每个应用程序时,都具有三个文件描述符,从0到2,分别表示标准输入、输出和错误流。因此,大多数应用程序
所打开的FD都是从3开始
TYPE:REG、DIR、CHR、BLK、UNIX、FIFO、IPV4

二、lsof的一些应用
(1)查看端口现在运行的情况
lsof -i:port  #某个端口
lsof -i:port1-port2 #
lsof -i:1-1024      #查看端口1-1024运行情况
(2)恢复删除文件
当系统中的某个文件被意外删除了,只要这个时候系统中有进程正在访问这个文件,那么可以通过lsof 从/proc目录下恢复文件的内容
假如/var/log/messages文件被删了,恢复这个文件的方法:
首先使用lsof 查看当前是否有进程打开/var/log/messages文件,
#lsof |grep /var/log/messages
[root@localhost ~]# rm /var/log/messages
rm:是否删除普通文件 "/var/log/messages"?y
[root@localhost ~]# lsof |grep /var/log/messages
rsyslogd  5925      root    1w      REG        8,2     4369     266184 /var/log/messages (deleted)
从上面的信息可以看到PID 5925(syslogd)打开文件的文件描述符为1,同时发现/var/log/messages已经被删除了。
因此可以通过/var/log/messages文件描述符来查看文件信息。
cat /pro/5925/fd/1
[root@localhost ~]# cat /proc/5925/fd/1
May 12 08:04:11 localhost kernel: hpet1: lost 3 rtc interrupts
May 12 08:04:11 localhost kernel: hpet1: lost 6 rtc interrupts
May 12 08:04:11 localhost kernel: hpet1: lost 1 rtc interrupts
May 12 09:25:33 localhost kernel: usb 2-2.1: USB disconnect, device number 10
May 12 09:25:33 localhost kernel: eth0: link down
May 12 09:25:33 localhost kernel: usb 2-2.1: new full speed USB device number 11 using uhci_hcd
May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device found, idVendor=0e0f, idProduct=0008
May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
May 12 09:25:33 localhost kernel: usb 2-2.1: Product: Virtual Bluetooth Adapter
May 12 09:25:33 localhost kernel: usb 2-2.1: Manufacturer: VMware
May 12 09:25:33 localhost kernel: usb 2-2.1: SerialNumber: 000650268328
May 12 09:25:33 localhost kernel: usb 2-2.1: configuration #1 chosen from 1 choice
最后通过重定向的方法恢复被删除的/var/log/messages(也可以使用cp命令拷贝回原路径)
cat /proc/5925/fd/1 >/var/log/messages
 Linux 内核提供了一种通过 /proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。
用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取proc文件时,proc文件系统是动态从系统内核读出所需信息并提交的。下面列出的这些文件或子文件夹,并不是都是在你的系统中存在,这取决于你的内核配置和装载的模块。另外,在/proc下还有三个很重要的目录:net,scsi和sys。 Sys目录是可写的,可以通过它来访问或修改内核的参数,而net和scsi则依赖于内核配置。例如,如果系统不支持scsi,则scsi 目录不存在。
除了以上介绍的这些,还有的是一些以数字命名的目录,它们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在/proc下,以进程的 PID号为目录名,它们是读取进程信息的接口。

(3)lsof的一些其他应用
列出某个用户打开的所有文件
# lsof -u pkrumins
-u选项限定只列出所有被用户pkrumins打开的文件,你可以通过逗号指定多个用户:
# lsof -u rms,root
这条命令会列出所有rms和root用户打开的文件。
你也可以像下面这样使用多个-u做同样的事情:
# lsof -u rms -u root
查找某个程序打开的所有文件
# lsof -c apache
-c选项限定只列出以apache开头的进程打开的文件:
所以你可以不用像下面这样写:
# lsof | grep foo
而使用下面这个更简短的版本:
# lsof -c foo
事实上,你可以只制定进程名称的开头:
# lsof -c apa
这会列出所有以apa开头的进程打开的文件
你同样可以制定多个-c参数:
# lsof -c apache -c python
这会列出所有由apache和python打开的文件
列出所有由某个用户或某个进程打开的文件
# lsof -u pkrumins -c apache
你也可以组合使用多个选项,这些选项默认进行或关联,也就是说上面的命令会输入由pkrumins用户或是apache进程打开的文件。
列出所有由一个用户与某个进程打开的文件
# lsof -a -u pkrumins -c bash
-a参数可以将多个选项的组合条件由或变为与,上面的命令会显示所有由pkrumins用户以及bash进程打开的文件。
列出所有由某个PID对应的进程打开的文件
# lsof -p 1
-p选项让你可以使用进程id来过滤输出。
记住你也可以用都好来分离多个pid。
# lsof -p 450,980,333
列出所有进程打开的文件除了某个pid的
# lsof -p ^1
同前面的用户一样,你也可以对-p选项使用^来进行取反。
列出所有网络连接
# lsof -i
lsof的-i选项可以列出所有打开了网络套接字(TCP和UDP)的进程。
列出所有TCP网络连接
# lsof -i tcp
也可以为-i选项加上参数,比如tcp,tcp选项会强制lsof只列出打开TCP sockets的进程。
列出所有UDP网络连接
# lsof -i udp
同样udp让lsof只列出使用UDP socket的进程。
找到使用某个端口的进程(冒号与端口号更配哦
# lsof -i :25
:25和-i选项组合可以让lsof列出占用TCP或UDP的25端口的进程。
你也可以使用/etc/services中制定的端口名称来代替端口号,比如:
# lsof -i :smtp
找到使用某个udp端口号的进程
# lsof -i udp:53
同样的,也可以找到使用某个tcp端口的进程:
# lsof -i tcp:80
找到某个用户的所有网络连接
# lsof -a -u hacker -i
使用-a将-u和-i选项组合可以让lsof列出某个用户的所有网络行为。

posted @ 2018-08-22 14:46  蹲坑蘑菇  阅读(739)  评论(0编辑  收藏  举报