lsof命令 详解

lsof命令的原始功能是列出打开的文件的进程，但LINUX下，所有的设备都是以文件的行式存在的，所以，lsof的功能很强大！
语法：lsof [-?ahlnNPRsv][-c c][+|-d d][+|-D D][-g [s]] [+|-L [I]][-p s][+|-r [t]][-u s][names]
参数说明：若没有加上任何参数，lsof会列出所有被程序开启的文件。
-? -h 这两个参数意思相同，显示出lsof的使用说明 -a 参数被视为AND，会影响全部的参数
-C c 显示出以字符或字符串c开头的命令程序开启的文件，如$lsof -C init
+d s 在文件夹s下搜寻，此参数不会继续深入搜寻此文件夹。如显示在/usr/local下被程序开启的文件：$lsof +d /usr/local +D D 同上，但是会以该文件为基础往下全部搜寻，这样花费较大的CPU时　间，请谨慎使用
-d s　此参数以file descriptor(FD)值显示结果，可以采用范围（1-3）或个别，如显示FD为4的进程：$lsof -d 4
-g [s] 以程序的PGID显示，也可以采用范围或个别表示，若没有特别指定，则显示全部，如显示PGID为6的进程：$lsof -g 6
-i 用以监听有关的任何符合的地址，若没有相关地址被指定，则监听全部　
语法： lsof -i [46][protocol][@hostname|hostaddr][:serivce|port]
说明：　46　　IPv4 or IPv6
protocol TCP or UDP
hostname internet host name
hostaddr IPv4地址
service /etc/service中的service name
port 端口号
-l 此参数禁止将user ID 转换为登录的名称，默认是登录名称
+|-L [l] +或-表示开启或关闭显示文件连接数，如果只有单纯的+L，后面没有任何数字，则表示显示全部，如果后面有数字，只有文件连接数少于该数字的会被列出
-n 不将IP地址转换为hostname,预设是转换的
-N 显示NFS的文件
-p s 以PID作为显示的依据
-P 此参数禁止将port number转换为service name,预设为转换
+|-r [t] 控制lsof不断重复执行，t为15秒，也就是说每隔15秒再重复执行 +r 一直执行，直到没有文件被显示 -r 永远不断的执行，直到收到中断讯号(ctrl+ c)
-R 此参数增列出PID的子程序，也就是PPID
-s 列出文件的大小，若该文件没有大小，则留下空白
-u s 列出login name或UID为的程序
-v 显示lsof的版本信息

lsof命令的妙用：

当 UNIX 计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以恢复这些文件，并且 lsof 可以为您提供帮助。
　　当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录条目。
　　# lsof | grep error_log
　　httpd 2452 root 2w REG 33,2 499 3090660
　　/var/log/httpd/error_log (deleted)
　　httpd 2452 root 7w REG 33,2 499 3090660
　　/var/log/httpd/error_log (deleted)
　　... more httpd processes ...
　　在这个示例中，您可以看到 PID 2452 打开文件的文件描述符为 2（标准错误）和 7。因此，可以在 /proc/2452/fd/7 中查看相应的信息，如清单 1 所示。
　　清单 1. 通过 /proc 查找删除的文件
　　# cat /proc/2452/fd/7
　　[Sun Apr 30 04:02:48 2006] [notice] Digest: generating secret for digest authentication
　　[Sun Apr 30 04:02:48 2006] [notice] Digest: done
　　[Sun Apr 30 04:02:48 2006] [notice] LDAP: Built with OpenLDAP LDAP SDK
　　Linux 的优点在于，它保存了文件的名称，甚至可以告诉我们它已经被删除。在遭到破坏的系统中查找相关内容时，这是非常有用的内容，因为攻击者通常会删除日志以隐藏他们的踪迹。Solaris 并不提供这些信息。然而，我们知道 httpd 守护进程使用了 error_log 文件，所以可以使用 ps 命令找到这个 PID，然后可以查看这个守护进程打开的所有文件。