Въведение в Lsof

Под Linux много обекти се считат за файл, независимо дали обектът всъщност е файл, устройство, директория или сокет. Изброяването на файл е лесно, има вградена обвивка lsза това. Но какво ще стане, ако потребителят иска да види кои файлове в момента се отварят от процеса на уеб сървъра? Или ако този потребител иска да разбере кои файлове се отварят в определена директория? Това е мястото, където lsofвлиза в действие. Представете си lsofкато lsс добавяне на "отворени файлове".

Моля, имайте предвид, че докато BSD имат различна помощна програма за тази работа fstat, няколко други разновидности на Unix (Solaris, например) също притежават lsof. Опциите и флаговете са различни при другите платформи, както и външният вид на изхода, но като цяло знанията в тази статия трябва да са приложими и за тях.

Първо, нека да разгледаме формата на lsofизхода и как трябва да се чете. Обичайният изход на lsofбез никакви параметри би приличал на следното. Това е изрязано за четливост.

COMMAND    PID  TID       USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
init         1            root  cwd       DIR              254,1      4096          2 /
init         1            root  rtd       DIR              254,1      4096          2 /
init         1            root  txt       REG              254,1     36992    7077928 /sbin/init
init         1            root  mem       REG              254,1     14768    7340043 /lib/x86_64-linux-gnu/libdl-2.13.so
init         1            root  mem       REG              254,1   1603600    7340040 /lib/x86_64-linux-gnu/libc-2.13.so
init         1            root  mem       REG              254,1    126232    7340078 /lib/x86_64-linux-gnu/libselinux.so.1
init         1            root  mem       REG              254,1    261184    7340083 /lib/x86_64-linux-gnu/libsepol.so.1
init         1            root  mem       REG              254,1    136936    7340037 /lib/x86_64-linux-gnu/ld-2.13.so
init         1            root   10u     FIFO               0,14       0t0       4781 /run/initctl

Тези колони означават следното:

• КОМАНД - Процесът, към който принадлежи отворен файл, в този пример всичко е свързано с init.
• PID - Идентификационният номер на процеса на споменатия процес.
• ПОТРЕБИТЕЛ – Потребителят, под който се изпълнява процесът. Защото initпочти винаги е root.
• FD - Файловият дескриптор на файла, като най-често срещаният е:
  • cwd- Текущата работна директория (може да забележите приликата с pwdкомандата, която отпечатва текущата работна директория).
  • rtd - Основната директория на процес.
  • txt- A text file, това може да означава или конфигурационен файл, свързан с процеса, или "изходния код", свързан с (или принадлежащи към) процеса.
  • mem - Така нареченият „файл, съпоставен с памет“, което означава сегмент от виртуална памет (четене: RAM), който е присвоен на файл.
  • Число - числото представлява действителния файлов дескриптор, знакът след числото е режимът, в който се отваря файлът:
  • r - Прочети.
  • w - Пиши.
  • u - Чети и пиши.
• ТИП - Посочва действителния тип на файла, най-често срещаните са:
  • REG - Обикновен файл.
  • DIR - Директория.
  • FIFO - Първи влезе, първи излезе.
• УСТРОЙСТВО – Основният и второстепенният номер на устройството, което съхранява файла.
• РАЗМЕР - Размерът на файла, в байтове.
• NODE - Номерът на inode на файла.
• ИМЕ – Името на файла.

Това може да е малко непосилно засега, но ако работите с lsofняколко пъти, това бързо ще потъне в мозъка ви.

Както бе споменато по-горе, изходът на lsofтук е съкратен. Без никакви аргументи или филтри, lsofпроизвежда стотици изходни редове, които само ще ви объркат.

Има два основни подхода за решаване на този проблем:

• Използвайте една или повече от lsofопциите на командния ред, за да стесните резултатите.
• Прекарайте изхода през, например, grep.

Въпреки че последната опция може да звучи по-удобно, тъй като няма да ви се налага да запаметявате lsofопциите на командния ред, обикновено не е толкова гъвкава и ефективна, така че ще се придържаме към първата.

Нека си представим, че искате да отворите файл с любимия си текстов редактор и че текстовият редактор ви казва, че може да бъде отворен само в режим само за четене, защото друга програма вече има достъп до него. lsofще ви помогне да разберете кой е извършителят:

lsof /path/to/your/file

Това ще доведе до изход, подобен на този:

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
vim 2679 root    5w   REG  254,1   121525 6035622 /root/lsof.txt

Очевидно сте забравили да затворите и по-стара сесия! Много подобен проблем се случва, когато се опитате да демонтирате NFS споделяне и umountви каже, че не може, защото нещо все още има достъп до монтираната папка. Отново lsofможе да ви помогне да идентифицирате виновника:

lsof +D /path/to/your/directory/

Забележете крайната наклонена черта, това е важно. В противен случай lsofще приемем, че имате предвид обикновен файл. Не се обърквайте от +флага отпред - lsofима толкова много опции на командния ред, че има нужда +в допълнение към по-често срещаните -. Резултатът ще изглежда така:

COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF      NODE NAME
mocp    5637  music    4r   REG   0,19 10147719 102367344 /home/Music/RMS_GNU_SONG.ogg

Това означава, че процесът mocpс PID 5637, принадлежащ на потребителя, musicе отворил файл, наречен RMS_GNU_SONG.ogg. Въпреки това, дори след затваряне на този процес, все още има проблем - NFS томът не може да бъде демонтиран.

lsofима -cфлаг, който показва отворени файлове с произволно име на процес.

lsof -c mocp

Това ще доведе до изход, изглеждащ така:

mocp    9383  music    4r   REG   0,19 10147719 102367344 /home/Music/ANOTHER_RMS_GNU_SONG.ogg

В този пример има друг екземпляр на mocpизпълнение, който ви пречи да демонтирате споделения. След като изключите този процес, искате да сте сигурни, че потребителят musicняма отворени други потенциално проблемни файлове. lsofима -uфлаг за показване на файлове, отворени от конкретен потребител. Не забравяйте, че файлът не винаги е обикновен файл на вашия твърд диск!

lsof -u music

Можете също да предадете няколко потребители, разделени със запетаи:

lsof -u music,moremusic

Една важна забележка за поведението по подразбиране на lsof: резултатите са OR -базирани, което означава, че могат да видят резултати файлове отворени от процеси, които са собственост на или потребителя musicили на потребителя moremusic. Ако искате да видите резултати, съответстващи на процеси, които са собственост на двамата потребители, тогава ще трябва да подадете флага -a:

lsof -au music, moremusic

Тъй като и двамата потребители са в групата musicusers, тогава можете също да изброите файлове въз основа на група:

lsof -g musicusers

Можете също да комбинирате флагове на командния ред:

lsof -u music,moremusic -c mocp

or

lsof -u ^music +D /home/Music

В последния ред добавихме друг специален флаг - ^, който означава логическо НЕ . Ако изходът е празен след изпълнение на тази команда, тогава демонтирането най-вероятно ще бъде успешно.

В предишните примери разглеждахме предимно обикновени файлове. Какво ще кажете за гнездата и мрежовите връзки?

За изброяване на всички текущи мрежови връзки lsofима -iфлаг:

lsof -i

Резултатът изглежда подобен на това, което сме виждали досега...

COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
owncloud  3509  myuser   25u  IPv4  44946      0t0  TCP strix.local:34217->myserver.vultr.com:https (ESTABLISHED)
firefox   3612  myuser   82u  IPv4  49663      0t0  TCP strix.local:43897->we-in-f100.1e100.net:https (ESTABLISHED)
ssh       3784  myuser    3u  IPv4  10437      0t0  TCP strix.local:51416->someserver.in:ssh (ESTABLISHED)
wget      4140  myuser    3w  IPv4  45586      0t0  TCP strix.local:54460->media.ccc.de:http (CLOSE_WAIT)

... с изключение на една разлика: вместо имена на файлове или директории, колоната NAMEвече показва информация за връзката. Всяка връзка се състои от следните части:

• протокол.
• Локално име на хост.
• Изходен порт на връзката.
• DNS име на дестинацията.
• Пристанище на дестинацията.
• Състояние на връзката.

Както при много други инструменти, можете да се откажете от разрешаването на DNS имена и портове ( -nи -Pсъответно). Флагът -iприема допълнителни параметри. Можете да посочите дали да се показват или не tcp, udpили icmpвръзки или определени портове:

lsof -i :25
or
lsof -i :smtp

Отново параметрите могат да се комбинират. Следният пример...

lsof -i tcp:80

... ще ви покаже само TCP връзки, използващи порт 80. Можете също да го комбинирате с опциите, които вече знаете от "класически" файлове:

lsof -a -u httpd -i tcp

Това ще ви покаже всички TCP връзки, отворени от потребителя httpd. Обърнете внимание на -aфлага, който променя поведението по подразбиране на lsof(както беше споменато по-рано). Както при повечето инструменти на командния ред, можете да отидете изключително дълбоко. Следното ще ви покаже само TCP връзки, чието състояние е "УСТАНОВЕНО":

lsof -i -s TCP:ESTABLISHED

На този етап трябва да имате основно разбиране за това как lsofработи, заедно с някои често срещани случаи на употреба. За по-нататъшно четене вижте ръчната страница на lsofвашата система.