- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業(yè)務(wù)經(jīng)營(yíng)許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯(lián)網(wǎng)協(xié)會(huì )理事單位
- 安全聯(lián)盟認證網(wǎng)站身份V標記
- 域名注冊服務(wù)機構許可:滇D3-20230001
- 代理域名注冊服務(wù)機構:新網(wǎng)數碼
1.lsof簡(jiǎn)介
lsof(list open files)是一個(gè)列出當前系統打開(kāi)文件的工具。在linux環(huán)境下,任何事物都以文件的形式存在,通過(guò)文件不僅僅可以訪(fǎng)問(wèn)常規數據,還可以訪(fǎng)問(wèn)網(wǎng)絡(luò )連接和硬件。所以如傳輸控制協(xié)議 (TCP) 和用戶(hù)數據報協(xié)議 (UDP) 套接字等,系統在后臺都為該應用程序分配了一個(gè)文件描述符,無(wú)論這個(gè)文件的本質(zhì)如何,該文件描述符為應用程序與基礎操作系統之間的交互提供了通用接口。因為應用程序打開(kāi)文件的描述符列表提供了大量關(guān)于這個(gè)應用程序本身的信息,因此通過(guò)lsof工具能夠查看這個(gè)列表對系統監測以及排錯將是很有幫助的。
2.lsof輸出信息含有
在終端下輸入lsof即可顯示系統打開(kāi)的文件,因為 lsof 需要訪(fǎng)問(wèn)核心內存和各種文件,所以必須以 root 用戶(hù)的身份運行它才能夠充分地發(fā)揮其功能。例如:lsof | grep “nginx” 只要nginx開(kāi)啟就能找到nginx打開(kāi)的文件,相反nginx停止了那么是得不到相關(guān)信息的.
我們可以看到總共有9列,每列含有如下:
comand: 進(jìn)程名稱(chēng)
pid: 進(jìn)程標識符
user: 進(jìn)程所有者
fd: 文件描述符,應用程序通過(guò)文件描述符識別該文件.如:cwd/txt
type: 文件類(lèi)型,如DIR/REG
device: 指定磁盤(pán)的名稱(chēng)
size: 文件大小
node: 索引節點(diǎn)(文件在磁盤(pán)上的標識)
name: 打開(kāi)文件的確切名稱(chēng)
3.常見(jiàn)參數(具體可查看man手冊)
lsof filename 顯示打開(kāi)指定文件的所有進(jìn)程
lsof -a 表示兩個(gè)參數都必須滿(mǎn)足時(shí)才顯示結果 lsof -a -u root -d txt
lsof -c string 顯示command列中包含指定字符的進(jìn)程打開(kāi)的文件
lsof -u username顯示所屬用戶(hù)打開(kāi)的文件
lsof -g gid 顯示對應gid的進(jìn)程情況
lsof +d /目錄 顯示目錄下被進(jìn)程打開(kāi)的文件
lsof +D /目錄 顯示目錄和子目錄下進(jìn)程打開(kāi)的文件
lsof -d fd 顯示指定文件描述符的進(jìn)程
lsof -i 顯示符合條件的進(jìn)程情況:如lsof -i tcp:80 查看端口被那個(gè)程序應用
4.當Linux計算機受到入侵時(shí),常見(jiàn)的情況是日志文件被刪除,以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的文件,比如在清理舊日志時(shí),意外地刪除了數據庫的活動(dòng)事務(wù)日志。有時(shí)可以通過(guò)lsof來(lái)恢復這些文件。
當進(jìn)程打開(kāi)了某個(gè)文件時(shí),只要該進(jìn)程保持打開(kāi)該文件,即使將其刪除,它依然存在于磁盤(pán)中。這意味著(zhù),進(jìn)程并不知道文件已經(jīng)被刪除,它仍然可以向打開(kāi)該文件時(shí)提供給它的文件描述符進(jìn)行讀取和寫(xiě)入。除了該進(jìn)程之外,這個(gè)文件是不可見(jiàn)的,因為已經(jīng)刪除了其相應的目錄索引節點(diǎn)。
在/proc 目錄下,其中包含了反映內核和進(jìn)程樹(shù)的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域,所以這些文件和目錄并不存在于磁盤(pán)中,因此當我們對這些文件進(jìn)行讀取和寫(xiě)入時(shí),實(shí)際上是在從內存中獲取相關(guān)信息。大多數與 lsof 相關(guān)的信息都存儲于以進(jìn)程的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 為 1234 的進(jìn)程的信息。每個(gè)進(jìn)程目錄中存在著(zhù)各種文件,它們可以使得應用程序簡(jiǎn)單地了解進(jìn)程的內存空間、文件描述符列表、指向磁盤(pán)上的文件的符號鏈接和其他系統信息。lsof 程序使用該信息和其他關(guān)于內核內部狀態(tài)的信息來(lái)產(chǎn)生其輸出。所以lsof 可以顯示進(jìn)程的文件描述符和相關(guān)的文件名等信息。也就是我們通過(guò)訪(fǎng)問(wèn)進(jìn)程的文件描述符可以找到該文件的相關(guān)信息。
(1)列如不小心刪除了nginx的訪(fǎng)問(wèn)日志:/var/log/nginx/access.log,會(huì )顯示deleted
(2)刪除后那么怎樣查看呢?從上面信息可以看到pid 1654打開(kāi)文件的描述符為5,同時(shí)access.log被標記為dedeted。因此我們可以在/proc/1654/fd/5中查看信息。
(3)誤刪除后怎樣恢復此access.log文件呢?
cat /proc/1654/fd/5 > /var/log/nginx/access.log
售前咨詢(xún)
售后咨詢(xún)
備案咨詢(xún)
二維碼
TOP