Úvod do Lsof

V Linuxu je mnoho objektů považováno za soubor, bez ohledu na to, zda je objektem ve skutečnosti soubor, zařízení, adresář nebo soket. Vypsání souboru je snadné, je k tomu vestavěný shell ls. Co když ale uživatel chtěl vidět, které soubory jsou aktuálně otevřeny procesem webového serveru? Nebo pokud by tento uživatel chtěl zjistit, které soubory jsou otevřeny v určitém adresáři? To je místo, kde lsofpřichází do hry. Představte si to lsofjako lss přidáním „otevřených souborů“.

Vezměte prosím na vědomí, že zatímco BSD mají pro tuto práci jinou utilitu fstat, několik dalších variant Unixu (například Solaris) má také lsof. Možnosti a příznaky se na ostatních platformách liší, stejně jako vzhled výstupu, ale obecně by pro ně měly být použitelné i znalosti v tomto článku.

Nejprve se podívejme na formát lsofvýstupu a na to, jak se má číst. Obvyklý výstup lsofbez jakýchkoli parametrů by vypadal následovně. Toto bylo oříznuto pro čitelnost.

COMMAND    PID  TID       USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
init         1            root  cwd       DIR              254,1      4096          2 /
init         1            root  rtd       DIR              254,1      4096          2 /
init         1            root  txt       REG              254,1     36992    7077928 /sbin/init
init         1            root  mem       REG              254,1     14768    7340043 /lib/x86_64-linux-gnu/libdl-2.13.so
init         1            root  mem       REG              254,1   1603600    7340040 /lib/x86_64-linux-gnu/libc-2.13.so
init         1            root  mem       REG              254,1    126232    7340078 /lib/x86_64-linux-gnu/libselinux.so.1
init         1            root  mem       REG              254,1    261184    7340083 /lib/x86_64-linux-gnu/libsepol.so.1
init         1            root  mem       REG              254,1    136936    7340037 /lib/x86_64-linux-gnu/ld-2.13.so
init         1            root   10u     FIFO               0,14       0t0       4781 /run/initctl

Tyto sloupce znamenají následující:

• COMMAND - Proces, ke kterému patří otevřený soubor, v tomto příkladu vše souvisí s init.
• PID - Identifikační číslo procesu uvedeného procesu.
• USER – uživatel, pod kterým proces běží. Pro init, je to téměř vždy root.
• FD – deskriptor souboru souboru, nejběžnější je:
  • cwd- Aktuální pracovní adresář (můžete si všimnout podobnosti s pwdpříkazem, který tiskne aktuální pracovní adresář).
  • rtd - Kořenový adresář procesu.
  • txt- A text file, může to znamenat buď konfigurační soubor související s procesem, nebo "zdrojový kód" související (nebo patřící k) procesu.
  • mem - Takzvaný "soubor mapovaný do paměti", to znamená segment virtuální paměti (čti RAM), který byl přiřazen k souboru.
  • Číslo - číslo představuje skutečný deskriptor souboru, znak za číslem je režim, ve kterém je soubor otevřen:
  • r - Čtěte.
  • w - Napsat.
  • u - Číst a psát.
• TYP – Určuje skutečný typ souboru, nejběžnější jsou:
  • REG - Běžný soubor.
  • DIR - Adresář.
  • FIFO - První dovnitř, první ven.
• ZAŘÍZENÍ – Hlavní a vedlejší číslo zařízení, které obsahuje soubor.
• SIZE – Velikost souboru v bajtech.
• NODE - Číslo inodu souboru.
• NAME – Název souboru.

To může být prozatím trochu ohromující, ale pokud s tím budete pracovat lsofněkolikrát, rychle se vám to vryje do mozku.

Jak je uvedeno výše, výstup lsofzde byl zkrácen. Bez jakýchkoli argumentů nebo filtrů lsofvytváří stovky řádků výstupu, který vás nechá jen zmatený.

Existují dva základní přístupy k řešení tohoto problému:

• K lsofzúžení výsledků použijte jednu nebo více možností příkazového řádku.
• Výstup proveďte například přes grep.

I když druhá možnost může znít pohodlněji, protože si nebudete muset pamatovat možnosti lsofpříkazového řádku, obecně není tak flexibilní a efektivní, takže se budeme držet první.

Představme si, že chcete otevřít soubor pomocí svého oblíbeného textového editoru a že vám textový editor řekne, že jej lze otevřít pouze v režimu pouze pro čtení, protože k němu již přistupuje jiný program. lsofvám pomůže zjistit, kdo je pachatel:

lsof /path/to/your/file

Tím vznikne výstup podobný tomuto:

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
vim 2679 root    5w   REG  254,1   121525 6035622 /root/lsof.txt

Zřejmě jste zapomněli zavřít a starší relaci! Velmi podobný problém nastane, když se pokusíte odpojit sdílenou složku NFS a umountřekne vám, že to nejde, protože něco stále přistupuje k připojené složce. Opět lsofvám může pomoci s identifikací viníka:

lsof +D /path/to/your/directory/

Všimněte si koncového lomítka, to je důležité. Jinak se lsofbude předpokládat, že máte na mysli běžný soubor. Nenechte se zmást +před příznakem - lsofmá tolik možností příkazového řádku, které potřebuje +kromě těch běžnějších -. Výstup by vypadal takto:

COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF      NODE NAME
mocp    5637  music    4r   REG   0,19 10147719 102367344 /home/Music/RMS_GNU_SONG.ogg

To znamená, že proces mocps PID 5637, který patří uživateli music, otevřel soubor s názvem RMS_GNU_SONG.ogg. I po ukončení tohoto procesu však stále přetrvává problém – svazek NFS nelze odpojit.

lsofmá -cpříznak, který zobrazuje otevřené soubory s libovolným názvem procesu.

lsof -c mocp

Výsledkem by byl výstup, který vypadá takto:

mocp    9383  music    4r   REG   0,19 10147719 102367344 /home/Music/ANOTHER_RMS_GNU_SONG.ogg

V tomto příkladu je další instance mocpspuštění, která vám brání v odpojení sdílené složky. Po vypnutí tohoto procesu se chcete ujistit, že uživatel musicnemá otevřené žádné další potenciálně problematické soubory. lsofmá -upříznak pro zobrazení souborů otevřených konkrétním uživatelem. Pamatujte, že soubor není vždy jen obyčejný soubor na vašem pevném disku!

lsof -u music

Můžete také předat několik uživatelů oddělených čárkami:

lsof -u music,moremusic

Důležitá poznámka o výchozí chování lsof: výsledky jsou OR na bázi, což znamená, že uvidíte výsledky otevření souboru pomocí postupů, které jsou ve vlastnictví buď uživatel music, nebo uživatel moremusic. Pokud byste chtěli vidět výsledky odpovídající procesům, které vlastní oba uživatelé, museli byste předat příznak -a:

lsof -au music, moremusic

Protože jsou oba uživatelé ve skupině musicusers, můžete také vypsat soubory podle skupiny:

lsof -g musicusers

Můžete také kombinovat příznaky příkazového řádku:

lsof -u music,moremusic -c mocp

or

lsof -u ^music +D /home/Music

Na poslední řádek jsme přidali další speciální příznak - ^, což znamená logické NOT . Pokud je výstup po spuštění tohoto příkazu prázdný, bude odpojení s největší pravděpodobností úspěšné.

V předchozích příkladech jsme se většinou dívali na běžné soubory. Jak je to se zásuvkami a síťovými připojeními?

Seznam všech aktuálních síťových připojení lsofmá -ipříznak:

lsof -i

Výstup vypadá podobně jako to, co jsme dosud viděli...

COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
owncloud  3509  myuser   25u  IPv4  44946      0t0  TCP strix.local:34217->myserver.vultr.com:https (ESTABLISHED)
firefox   3612  myuser   82u  IPv4  49663      0t0  TCP strix.local:43897->we-in-f100.1e100.net:https (ESTABLISHED)
ssh       3784  myuser    3u  IPv4  10437      0t0  TCP strix.local:51416->someserver.in:ssh (ESTABLISHED)
wget      4140  myuser    3w  IPv4  45586      0t0  TCP strix.local:54460->media.ccc.de:http (CLOSE_WAIT)

... až na jeden rozdíl: místo názvů souborů nebo adresářů nyní sloupec NAMEzobrazuje informace o připojení. Každé spojení se skládá z následujících částí:

• Protokol.
• Místní název hostitele.
• Zdrojový port připojení.
• Název DNS cíle.
• Cílový přístav.
• Stav připojení.

Stejně jako u mnoha jiných nástrojů se můžete odhlásit z rozlišení názvů DNS a portů ( -na -P). Příznak -ipřebírá další parametry. Můžete určit, zda se má či nemá zobrazovat tcp, udpnebo icmppřipojení nebo určité porty:

lsof -i :25
or
lsof -i :smtp

Parametry lze opět kombinovat. Následující příklad...

lsof -i tcp:80

... vám ukáže pouze připojení TCP pomocí portu 80. Můžete jej také zkombinovat s možnostmi, které již znáte z „klasických“ souborů:

lsof -a -u httpd -i tcp

Zobrazí se všechna připojení TCP otevřená uživatelem httpd. Všimněte si -apříznaku, který mění výchozí chování lsof(jak bylo zmíněno dříve). Stejně jako u většiny nástrojů příkazového řádku můžete jít velmi hluboko. Následující zobrazí pouze připojení TCP, jejichž stav je "NASTAVENO":

lsof -i -s TCP:ESTABLISHED

V tomto okamžiku byste měli mít základní znalosti o tom lsof, jak funguje, spolu s některými běžnými případy použití. Další informace naleznete v manuálové stránce lsofvašeho systému.