Introduktion till Lsof

Under Linux betraktas många objekt som en fil, oavsett om objektet faktiskt är en fil, enhet, katalog eller socket. Det är lätt att lista en fil, det finns ett inbyggt skal lsför det. Men vad händer om en användare ville se vilka filer som för närvarande öppnas av webbserverprocessen? Eller om den användaren ville ta reda på vilka filer som är öppna i en viss katalog? Det är där som lsofspelar in. Tänk dig lsofsom en lsmed tillägg av "öppna filer".

Observera att även om BSD:erna har ett annat verktyg för det här jobbet, fstathar flera andra varianter av Unix (Solaris, till exempel) också lsof. Alternativen och flaggorna är olika på de andra plattformarna, liksom utseendet på resultatet, men generellt sett bör kunskapen i den här artikeln vara tillämplig för dem också.

Låt oss först ta en titt på lsofutdataformatet och hur det ska läsas. Den vanliga utmatningen lsofutan några parametrar skulle likna följande. Detta har trimmats för läsbarhet.

COMMAND    PID  TID       USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
init         1            root  cwd       DIR              254,1      4096          2 /
init         1            root  rtd       DIR              254,1      4096          2 /
init         1            root  txt       REG              254,1     36992    7077928 /sbin/init
init         1            root  mem       REG              254,1     14768    7340043 /lib/x86_64-linux-gnu/libdl-2.13.so
init         1            root  mem       REG              254,1   1603600    7340040 /lib/x86_64-linux-gnu/libc-2.13.so
init         1            root  mem       REG              254,1    126232    7340078 /lib/x86_64-linux-gnu/libselinux.so.1
init         1            root  mem       REG              254,1    261184    7340083 /lib/x86_64-linux-gnu/libsepol.so.1
init         1            root  mem       REG              254,1    136936    7340037 /lib/x86_64-linux-gnu/ld-2.13.so
init         1            root   10u     FIFO               0,14       0t0       4781 /run/initctl

Dessa kolumner betyder följande:

• COMMAND - Processen som en öppen fil tillhör, i detta exempel är allt relaterat till init.
• PID - Processidentifikationsnumret för nämnda process.
• ANVÄNDARE - Användaren som processen körs under. För init, det är nästan alltid root.
• FD - Filens filbeskrivning, den vanligaste är:
  • cwd- Den aktuella arbetskatalogen (du kanske märker likheten med pwdkommandot som skriver ut den aktuella arbetskatalogen).
  • rtd - Rotkatalogen för en process.
  • txt- A text file, detta kan antingen betyda en konfigurationsfil relaterad till processen eller "källkoden" som är relaterad till (eller tillhör) processen.
  • mem - En så kallad "minnesmappad fil", det vill säga ett segment av virtuellt minne (läs: RAM) som har tilldelats en fil.
  • Ett nummer - numret representerar den faktiska filbeskrivningen, tecknet efter numret är det läge som filen öppnas i:
  • r - Läs.
  • w - Skriv.
  • u - Läsa och skriva.
• TYPE - Anger den faktiska typen av filen, de vanligaste är:
  • REG - En vanlig fil.
  • DIR - En katalog.
  • FIFO - Först in först ut.
• DEVICE - Huvud- och undernummer för enheten som innehåller filen.
• STORLEK - Storleken på filen, i byte.
• NODE - Inodnumret för filen.
• NAMN - Namnet på filen.

Detta kan vara lite överväldigande för tillfället, men om du arbetar med lsofnågra gånger kommer det snabbt att sjunka in i din hjärna.

Som nämnts ovan har produktionen av lsofförkortats här. Utan några argument eller filter, lsofproducerar hundratals rader utdata som bara kommer att göra dig förvirrad.

Det finns två grundläggande tillvägagångssätt för att lösa det problemet:

• Använd ett eller flera av lsofkommandoradsalternativen för att begränsa resultaten.
• Led utgången genom till exempel grep.

Även om det senare alternativet kan låta bekvämare eftersom du inte behöver memorera lsofkommandoradsalternativen, är det i allmänhet inte lika flexibelt och effektivt, så vi håller oss till det första.

Låt oss föreställa oss att du vill öppna en fil med din favorittextredigerare, och att textredigeraren talar om för dig att den bara kan öppnas i skrivskyddat läge eftersom ett annat program redan har åtkomst till den. lsofhjälper dig att ta reda på vem förövaren är:

lsof /path/to/your/file

Detta kommer att producera en utdata som liknar denna:

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
vim 2679 root    5w   REG  254,1   121525 6035622 /root/lsof.txt

Tydligen har du glömt att stänga och äldre session! Ett mycket liknande problem inträffar när du försöker avmontera en NFS-resurs och umountsäger till dig att det inte går eftersom något fortfarande har åtkomst till den monterade mappen. Återigen, lsofkan hjälpa dig att identifiera den skyldige:

lsof +D /path/to/your/directory/

Lägg märke till det avslutande snedstrecket, det är viktigt. Annars lsofantar du att du menar en vanlig fil. Bli inte förvirrad av den +framför flaggan - lsofhar så många kommandoradsalternativ som den behöver +utöver de vanligare -. Utgången skulle se ut så här:

COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF      NODE NAME
mocp    5637  music    4r   REG   0,19 10147719 102367344 /home/Music/RMS_GNU_SONG.ogg

Det betyder att processen mocpmed PID som 5637tillhör användaren musichar öppnat en fil som heter RMS_GNU_SONG.ogg. Men även efter att ha stängt den processen finns det fortfarande ett problem - NFS-volymen kan inte avmonteras.

lsofhar en -cflagga som visar öppnade filer med ett godtyckligt processnamn.

lsof -c mocp

Det skulle ge en utdata som ser ut så här:

mocp    9383  music    4r   REG   0,19 10147719 102367344 /home/Music/ANOTHER_RMS_GNU_SONG.ogg

I det här exemplet finns det en annan instans av mocpkörning som hindrar dig från att avmontera resursen. Efter att ha stängt av den processen vill du se till att användaren inte musichar några andra potentiellt problematiska filer öppna. lsofhar en -uflagga för att visa filer som öppnats av en specifik användare. Kom ihåg att en fil inte alltid bara är en vanlig fil på din hårddisk!

lsof -u music

Du kan också skicka flera användare, separerade med kommatecken:

lsof -u music,moremusic

En viktig anmärkning om standardbeteendet för lsof: resultaten är ELLER- baserade, vilket betyder att du kommer att se filresultat öppnade av processer som ägs av antingen användaren musiceller användaren moremusic. Om du vill se resultat som matchar processer som ägs av båda användarna, måste du skicka flaggan -a:

lsof -au music, moremusic

Eftersom båda användarna är i gruppen musicuserskan du också lista filer baserat på grupp:

lsof -g musicusers

Du kan också kombinera kommandoradsflaggor:

lsof -u music,moremusic -c mocp

or

lsof -u ^music +D /home/Music

På sista raden lade vi till ytterligare en speciell flagga - ^, som står för ett logiskt NOT . Om utgången är tom efter att ha kört det kommandot kommer avmonteringen med största sannolikhet att lyckas.

I de tidigare exemplen tittade vi mest på vanliga filer. Vad sägs om uttag och nätverksanslutningar?

För att lista alla aktuella nätverksanslutningar lsofhar -iflaggan:

lsof -i

Resultatet liknar det vi har sett hittills...

COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
owncloud  3509  myuser   25u  IPv4  44946      0t0  TCP strix.local:34217->myserver.vultr.com:https (ESTABLISHED)
firefox   3612  myuser   82u  IPv4  49663      0t0  TCP strix.local:43897->we-in-f100.1e100.net:https (ESTABLISHED)
ssh       3784  myuser    3u  IPv4  10437      0t0  TCP strix.local:51416->someserver.in:ssh (ESTABLISHED)
wget      4140  myuser    3w  IPv4  45586      0t0  TCP strix.local:54460->media.ccc.de:http (CLOSE_WAIT)

... förutom en skillnad: istället för filnamn eller kataloger NAMEvisar kolumnen nu anslutningsinformation. Varje anslutning består av följande delar:

• Protokoll.
• Lokalt värdnamn.
• Källport för anslutningen.
• Destinations-DNS-namn.
• Destinationshamn.
• Status för anslutningen.

I likhet med många andra verktyg, kan du välja bort att lösa DNS-namn och portar ( -noch -P, respektive). Flaggan -itar ytterligare parametrar. Du kan ange om du vill visa tcp, udpeller icmpanslutningar eller vissa portar:

lsof -i :25
or
lsof -i :smtp

Återigen kan parametrar kombineras. Följande exempel...

lsof -i tcp:80

... visar dig endast TCP-anslutningar med port 80. Du kan också kombinera det med alternativen som du redan känner till från "klassiska" filer:

lsof -a -u httpd -i tcp

Detta kommer att visa dig alla TCP-anslutningar som öppnats av användaren httpd. Notera -aflaggan, som ändrar standardbeteendet för lsof(som nämnts tidigare). Som med de flesta kommandoradsverktyg kan du gå extremt djupt. Följande visar bara TCP-anslutningar vars tillstånd är "ETABLISHED":

lsof -i -s TCP:ESTABLISHED

Vid det här laget bör du ha en grundläggande förståelse för hur det lsoffungerar, tillsammans med några vanliga användningsfall. För ytterligare läsning, se manualen för lsofditt system.