lsof

lsof是系統管理/安全的尤伯工具。我大多數時候用它來從系統得到與網絡鏈接相關的信息，但那只是這個強大而又不爲人知的應用的第一步。將這個工具稱之爲lsof真實名副其實，由於它是指「列出打開文件（lists openfiles）」。而有一點要切記，在Unix中一切（包括網絡套接口）都是文件。

有趣的是，lsof也是有着最多開關的Linux/Unix命令之一。它有那麼多的開關，它有許多選項支持使用-和+前綴。

usage: [-?abhlnNoOPRstUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]]

 [-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+|-M] [-o [o]]

 [-p s] [+|-r [t]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]

正如你所見，lsof有着實在是使人驚訝的選項數量。你可使用它來得到你係統上設備的信息，你能經過它瞭解到指定的用戶在指定的地點正在碰什麼東西，或者甚至是一個進程正在使用什麼文件或網絡鏈接。

對於我，lsof替代了netstat和ps的所有工做。它能夠帶來那些工具所能帶來的一切，並且要比那些工具多得多。那麼，讓咱們來看看它的一些基本能力吧：

關鍵選項

理解一些關於lsof如何工做的關鍵性東西是很重要的。最重要的是，當你給它傳遞選項時，默認行爲是對結果進行「或」運算。所以，若是你正是用-i來拉出一個端口列表，同時又用-p來拉出一個進程列表，那麼默認狀況下你會得到二者的結果。

下面的一些其它東西須要牢記：

默認 : 沒有選項，lsof列出活躍進程的全部打開文件

組合 : 能夠將選項組合到一塊兒，如-abc，但要小心哪些選項須要參數

-a : 結果進行「與」運算（而不是「或」）

-l : 在輸出顯示用戶ID而不是用戶名

-h : 得到幫助

-t : 僅獲取進程ID

-U : 獲取UNIX套接口地址

-F : 格式化輸出結果，用於其它命令。能夠經過多種方式格式化，如-F pcfn（用於進程id、命令名、文件描述符、文件名，並以空終止）

獲取網絡信息

正如我所說的，我主要將lsof用於獲取關於系統怎麼和網絡交互的信息。這裏提供了關於此信息的一些主題：

使用-i顯示全部鏈接

有些人喜歡用netstat來獲取網絡鏈接，可是我更喜歡使用lsof來進行此項工做。結果以對我來講很直觀的方式呈現，我僅僅只需改變個人語法，就能夠經過一樣的命令來獲取更多信息。

# lsof -i

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

dhcpcd 6061 root 4u IPv4 4510 UDP *:bootpc

sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)

sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)

使用-i 6僅獲取IPv6流量

# lsof -i 6

僅顯示TCP鏈接（同理可得到UDP鏈接）

你也能夠經過在-i後提供對應的協議來僅僅顯示TCP或者UDP鏈接信息。

# lsof -iTCP

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)

sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)

使用-i:port來顯示與指定端口相關的網絡信息

或者，你也能夠經過端口搜索，這對於要找出什麼阻止了另一個應用綁定到指定端口實在是太棒了。

# lsof -i :22

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)

sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)

使用@host來顯示指定到指定主機的鏈接

這對於你在檢查是否開放鏈接到網絡中或互聯網上某個指定主機的鏈接時十分有用。

# lsof -i@172.16.12.5

sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED)

使用@host:port顯示基於主機與端口的鏈接

你也能夠組合主機與端口的顯示信息。

# lsof -i@172.16.12.5:22

sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED)

找出監聽端口

找出正等候鏈接的端口。

# lsof -i -sTCP:LISTEN

你也能夠grep 「LISTEN」來完成該任務。

# lsof -i | grep -i LISTEN

iTunes 400 daniel 16u IPv4 0x4575228 0t0 TCP *:daap (LISTEN)

找出已創建的鏈接

你也能夠顯示任何已經鏈接的鏈接。

# lsof -i -sTCP:ESTABLISHED

你也能夠經過grep搜索「ESTABLISHED」來完成該任務。

# lsof -i | grep -i ESTABLISHED

firefox-b 169 daniel 49u IPv4 0t0 TCP 1.2.3.3:1863->1.2.3.4:http (ESTABLISHED)

用戶信息

你也能夠獲取各類用戶的信息，以及它們在系統上正幹着的事情，包括它們的網絡活動、對文件的操做等。

使用-u顯示指定用戶打開了什麼

# lsof -u daniel

-- snipped --

 Dock 155 daniel txt REG 14,2 2798436 823208 /usr/lib/libicucore.A.dylib

 Dock 155 daniel txt REG 14,2 1580212 823126 /usr/lib/libobjc.A.dylib

 Dock 155 daniel txt REG 14,2 2934184 823498 /usr/lib/libstdc++.6.0.4.dylib

 Dock 155 daniel txt REG 14,2 132008 823505 /usr/lib/libgcc_s.1.dylib

 Dock 155 daniel txt REG 14,2 212160 823214 /usr/lib/libauto.dylib

 -- snipped --

使用-u user來顯示除指定用戶之外的其它全部用戶所作的事情

# lsof -u ^daniel

-- snipped --

 Dock 155 jim txt REG 14,2 2798436 823208 /usr/lib/libicucore.A.dylib

 Dock 155 jim txt REG 14,2 1580212 823126 /usr/lib/libobjc.A.dylib

 Dock 155 jim txt REG 14,2 2934184 823498 /usr/lib/libstdc++.6.0.4.dylib

 Dock 155 jim txt REG 14,2 132008 823505 /usr/lib/libgcc_s.1.dylib

 Dock 155 jim txt REG 14,2 212160 823214 /usr/lib/libauto.dylib

 -- snipped --

殺死指定用戶所作的一切事情

能夠消滅指定用戶運行的全部東西，這真不錯。

# kill -9 `lsof -t -u daniel`

命令和進程

能夠查看指定程序或進程由什麼啓動，這一般會頗有用，而你可使用lsof經過名稱或進程ID過濾來完成這個任務。下面列出了一些選項：

使用-c查看指定的命令正在使用的文件和網絡鏈接

# lsof -c syslog-ng

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

 syslog-ng 7547 root cwd DIR 3,3 4096 2 /

 syslog-ng 7547 root rtd DIR 3,3 4096 2 /

 syslog-ng 7547 root txt REG 3,3 113524 1064970 /usr/sbin/syslog-ng

 -- snipped --

使用-p查看指定進程ID已打開的內容

# lsof -p 10075

-- snipped --

 sshd 10068 root mem REG 3,3 34808 850407 /lib/libnss_files-2.4.so

 sshd 10068 root mem REG 3,3 34924 850409 /lib/libnss_nis-2.4.so

 sshd 10068 root mem REG 3,3 26596 850405 /lib/libnss_compat-2.4.so

 sshd 10068 root mem REG 3,3 200152 509940 /usr/lib/libssl.so.0.9.7

 sshd 10068 root mem REG 3,3 46216 510014 /usr/lib/liblber-2.3

 sshd 10068 root mem REG 3,3 59868 850413 /lib/libresolv-2.4.so

 sshd 10068 root mem REG 3,3 1197180 850396 /lib/libc-2.4.so

 sshd 10068 root mem REG 3,3 22168 850398 /lib/libcrypt-2.4.so

 sshd 10068 root mem REG 3,3 72784 850404 /lib/libnsl-2.4.so

 sshd 10068 root mem REG 3,3 70632 850417 /lib/libz.so.1.2.3

 sshd 10068 root mem REG 3,3 ××× 850416 /lib/libutil-2.4.so

 -- snipped --

-t選項只返回PID

# lsof -t -c Mail

350

文件和目錄

經過查看指定文件或目錄，你能夠看到系統上全部正與其交互的資源——包括用戶、進程等。

顯示與指定目錄交互的全部一切

# lsof /var/log/messages/

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

syslog-ng 7547 root 4w REG 3,3 217309 834024 /var/log/messages

顯示與指定文件交互的全部一切

# lsof /home/daniel/firewall_whitelist.txt

高級用法

與tcpdump相似，當你開始組合查詢時，它就顯示了它強大的功能。

顯示daniel鏈接到1.1.1.1所作的一切

# lsof -u daniel -i @1.1.1.1

bkdr 1893 daniel 3u IPv6 3456 TCP 10.10.1.10:1234->1.1.1.1:31337 (ESTABLISHED)

同時使用-t和-c選項以給進程發送 HUP 信號

# kill -HUP `lsof -t -c sshd`

lsof +L1顯示全部打開的連接數小於1的文件

這一般（當不老是）表示某個***者正嘗試經過刪除文件入口來隱藏文件內容。

# lsof +L1

(hopefully nothing)

顯示某個端口範圍的打開的鏈接

# lsof -i @fw.google.com:2150=2180