Uvod v Lsof

V Linuxu se mnogi predmeti štejejo za datoteko, ne glede na to, ali je objekt dejansko datoteka, naprava, imenik ali vtičnica. Seznam datoteke je preprost, za to je vgrajena lupina ls. Kaj pa, če bi uporabnik želel videti, katere datoteke trenutno odpre postopek spletnega strežnika? Ali če bi ta uporabnik želel izvedeti, katere datoteke so odprte v določenem imeniku? Tu lsofpride v poštev. Predstavljajte si lsofkot lsz dodatkom "odprtih datotek".

Upoštevajte, da imajo BSD-ji drugačen pripomoček za to nalogo, ima fstatpa tudi več drugih različic Unixa (na primer Solaris) lsof. Možnosti in zastavice so drugačne na drugih platformah, pa tudi videz izhoda, vendar bi na splošno znanje iz tega članka moralo veljati tudi zanje.

Najprej si oglejmo obliko lsofizpisa in kako ga je treba brati. Običajni izhod lsofbrez parametrov bi bil podoben naslednjemu. To je bilo obrezano za berljivost.

COMMAND    PID  TID       USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
init         1            root  cwd       DIR              254,1      4096          2 /
init         1            root  rtd       DIR              254,1      4096          2 /
init         1            root  txt       REG              254,1     36992    7077928 /sbin/init
init         1            root  mem       REG              254,1     14768    7340043 /lib/x86_64-linux-gnu/libdl-2.13.so
init         1            root  mem       REG              254,1   1603600    7340040 /lib/x86_64-linux-gnu/libc-2.13.so
init         1            root  mem       REG              254,1    126232    7340078 /lib/x86_64-linux-gnu/libselinux.so.1
init         1            root  mem       REG              254,1    261184    7340083 /lib/x86_64-linux-gnu/libsepol.so.1
init         1            root  mem       REG              254,1    136936    7340037 /lib/x86_64-linux-gnu/ld-2.13.so
init         1            root   10u     FIFO               0,14       0t0       4781 /run/initctl

Ti stolpci pomenijo naslednje:

• UKAZ - Proces, ki mu pripada odprta datoteka, v tem primeru je vse povezano z init.
• PID – identifikacijska številka procesa omenjenega procesa.
• USER – uporabnik, pod katerim se proces izvaja. Kajti initskoraj vedno je root.
• FD - Datotečni deskriptor datoteke, najpogostejši je:
  • cwd- Trenutni delovni imenik (morda opazite podobnost z pwdukazom, ki natisne trenutni delovni imenik).
  • rtd - Korenski imenik procesa.
  • txt- A text file, to lahko pomeni konfiguracijsko datoteko, povezano s procesom, ali "izvorno kodo", ki je povezana s procesom (ali mu pripada).
  • mem - Tako imenovana "datoteka s preslikavo pomnilnika", kar pomeni segment navideznega pomnilnika (beri: RAM), ki je bil dodeljen datoteki.
  • Številka - številka predstavlja dejanski deskriptor datoteke, znak za številko je način, v katerem se datoteka odpre:
  • r - Beri.
  • w - Pišite.
  • u - Beri in piši.
• TYPE - Določa dejansko vrsto datoteke, najpogostejši so:
  • REG - Navadna datoteka.
  • DIR - Imenik.
  • FIFO - Prvi noter, prvi ven.
• NAPRAVA – glavna in manjša številka naprave, ki hrani datoteko.
• VELIKOST - Velikost datoteke v bajtih.
• NODE – številka inode datoteke.
• NAME - Ime datoteke.

To je za zdaj morda malce premočno, a če lsofnekajkrat delate z njim, vam bo hitro potonilo v možgane.

Kot že omenjeno, je bil izhod lsoftukaj skrajšan. Brez kakršnih koli argumentov ali filtrov lsofustvari na stotine izhodnih vrstic, ki vas bodo le zmedle.

Obstajata dva osnovna pristopa za rešitev tega problema:

• Uporabite eno ali več lsofmožnosti ukazne vrstice, da zožite rezultate.
• Prenesite izhod skozi, na primer, grep.

Čeprav se slednja možnost morda zdi bolj udobna, saj vam ne bo treba zapomniti lsofmožnosti ukazne vrstice, na splošno ni tako prilagodljiva in učinkovita, zato se bomo držali prve.

Predstavljajmo si, da želite datoteko odpreti s svojim najljubšim urejevalnikom besedil in da vam urejevalnik besedil pove, da jo je mogoče odpreti samo v načinu samo za branje, ker do nje že dostopa drug program. lsofvam bo pomagal ugotoviti, kdo je storilec:

lsof /path/to/your/file

To bo ustvarilo podoben izhod:

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
vim 2679 root    5w   REG  254,1   121525 6035622 /root/lsof.txt

Očitno ste pozabili zapreti in starejšo sejo! Zelo podobna težava se zgodi, ko poskušate odklopiti skupno rabo NFS in umountvam pove, da ne more, ker nekaj še vedno dostopa do nameščene mape. Spet vam lsoflahko pomaga pri prepoznavanju krivca:

lsof +D /path/to/your/directory/

Upoštevajte zadnjo poševnico, to je pomembno. V nasprotnem primeru lsofboste domnevali, da mislite na običajno datoteko. Naj vas ne zmede +oznaka pred zastavo - lsofima toliko možnosti ukazne vrstice, da potrebuje +poleg bolj običajnih -. Izhod bi izgledal takole:

COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF      NODE NAME
mocp    5637  music    4r   REG   0,19 10147719 102367344 /home/Music/RMS_GNU_SONG.ogg

To pomeni, da je proces mocps PID-jem 5637, ki pripada uporabniku music, odprl datoteko z imenom RMS_GNU_SONG.ogg. Vendar tudi po zaprtju tega postopka še vedno obstaja težava - nosilca NFS ni mogoče odklopiti.

lsofima -czastavico, ki prikazuje datoteke, odprte s poljubnim imenom procesa.

lsof -c mocp

To bi ustvarilo rezultat, ki bi izgledal takole:

mocp    9383  music    4r   REG   0,19 10147719 102367344 /home/Music/ANOTHER_RMS_GNU_SONG.ogg

V tem primeru je še en primer mocpizvajanja, ki vam preprečuje, da bi odklopili skupno rabo. Po zaustavitvi tega postopka se želite prepričati, da uporabnik musicnima odprtih drugih potencialno problematičnih datotek. lsofima -uzastavico za prikaz datotek, ki jih je odprl določen uporabnik. Ne pozabite, da datoteka ni vedno le običajna datoteka na vašem trdem disku!

lsof -u music

Predate lahko tudi več uporabnikov, ločenih z vejicami:

lsof -u music,moremusic

Pomembno opozorilo na privzeto obnašanje lsof: rezultati so ali bodo temeljile, kar pomeni, da boste videli rezultate datotek, odprtih postopkih, ki so v lasti bodisi uporabnik musicali uporabnik moremusic. Če bi želeli videti rezultate, ki se ujemajo s procesi, ki so v lasti obeh uporabnikov, bi morali posredovati zastavico -a:

lsof -au music, moremusic

Ker sta oba uporabnika v skupini musicusers, lahko navedete tudi datoteke glede na skupino:

lsof -g musicusers

Kombinirate lahko tudi zastavice ukazne vrstice:

lsof -u music,moremusic -c mocp

or

lsof -u ^music +D /home/Music

V zadnji vrstici smo dodali še eno posebno zastavo - ^, ki pomeni logično NE . Če je izhod po zagonu tega ukaza prazen, bo odklop najverjetneje uspešen.

V prejšnjih primerih smo si večinoma ogledali navadne datoteke. Kaj pa vtičnice in omrežne povezave?

Za seznam vseh trenutnih omrežnih povezav lsofima -izastavico:

lsof -i

Rezultat je podoben tistemu, kar smo videli do sedaj ...

COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
owncloud  3509  myuser   25u  IPv4  44946      0t0  TCP strix.local:34217->myserver.vultr.com:https (ESTABLISHED)
firefox   3612  myuser   82u  IPv4  49663      0t0  TCP strix.local:43897->we-in-f100.1e100.net:https (ESTABLISHED)
ssh       3784  myuser    3u  IPv4  10437      0t0  TCP strix.local:51416->someserver.in:ssh (ESTABLISHED)
wget      4140  myuser    3w  IPv4  45586      0t0  TCP strix.local:54460->media.ccc.de:http (CLOSE_WAIT)

... razen ene razlike: namesto imen datotek ali imenikov stolpec NAMEzdaj prikazuje informacije o povezavi. Vsaka povezava je sestavljena iz naslednjih delov:

• Protokol.
• Lokalno ime gostitelja.
• Izvorna vrata povezave.
• Ime ciljnega DNS.
• Ciljno pristanišče.
• Stanje povezave.

Kot pri mnogih drugih orodjih lahko tudi vi onemogočite razreševanje imen in vrat DNS ( -nin -P). Zastava -isprejme dodatne parametre. Lahko določite, ali pokazati tcp, udpali icmppovezav ali nekatera pristanišča:

lsof -i :25
or
lsof -i :smtp

Spet je mogoče kombinirati parametre. Naslednji primer ...

lsof -i tcp:80

... vam bo prikazal samo povezave TCP z uporabo vrat 80. Lahko ga kombinirate tudi z možnostmi, ki jih že poznate iz "klasičnih" datotek:

lsof -a -u httpd -i tcp

To vam bo pokazalo vse povezave TCP, ki jih je odprl uporabnik httpd. Upoštevajte -azastavico, ki spremeni privzeto obnašanje lsof(kot je bilo že omenjeno). Kot pri večini orodij ukazne vrstice lahko greste zelo globoko. Naslednje vam bo prikazalo samo povezave TCP, katerih stanje je "VSTOPLJENO":

lsof -i -s TCP:ESTABLISHED

Na tej točki bi morali imeti osnovno razumevanje delovanja lsof, skupaj z nekaterimi običajnimi primeri uporabe. Za nadaljnje branje si oglejte stran priročnika za lsofvaš sistem.