PUB:20141009 Linux Terminal--An lsof Primer

@GOLinux
2025-01-13 22:30:37 +08:00 · 2014-10-27 16:02:14 +08:00 · 2014-10-27 16:02:14 +08:00 · c0707b66d5
commit c0707b66d5
parent 54e758983f
1 changed files with 62 additions and 61 deletions
--- a/translated/tech/20141009
+++ b/translated/tech/20141009
@ -1,12 +1,10 @@
-Linux终端：lsof入门
+Linux 命令神器：lsof 入门
 ================================================================================
 ![](http://cdn.linuxaria.com/wp-content/uploads/2011/06/tux-terminal.jpg)

-Daniel Miessler撰写，首次在他[博客][1]上贴出
+**lsof**是系统管理/[安全][2]的尤伯工具。我大多数时候用它来从系统获得与[网络][3]连接相关的信息，但那只是这个强大而又鲜为人知的应用的第一步。将这个工具称之为lsof真实名副其实，因为它是指“**列出打开文件（lists openfiles）**”。而有一点要切记，在Unix中一切（包括网络套接口）都是文件。

-**lsof**是系统管理/[安全][2]尤伯工具。我大多数时候用它来从系统获得与[网络][3]连接相关的信息，但那只是这个强大而又鲜为人知的应用的第一步。将这个工具称之为lsof真实名副其实，因为它是指“**列出打开文件（lists openfiles）**”。而有一点要切记，在Unix中一切（包括网络套接口）都是文件。
-
-有趣的是，lsof也是有着最多开关的Linux/Unix命令。它有那么多的开关，它必须同时使用-和+。
+有趣的是，lsof也是有着最多开关的Linux/Unix命令之一。它有那么多的开关，它有许多选项支持使用-和+前缀。

    usage: [-?abhlnNoOPRstUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]]
     [-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+|-M] [-o [o]]
@ -18,26 +16,26 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出

 ### 关键选项 ###

-理解一些关于lsof如何工作的关键性东西是很重要的。最重要的是，当你给它传递选项时，默认行为是对结果进行或运算。因此，如果你正是用-i来拉出一个端口列表，同时又用-p来拉出一个进程列表，那么默认情况下你会获得两者的结果。
+理解一些关于lsof如何工作的关键性东西是很重要的。最重要的是，当你给它传递选项时，**默认行为**是对结果进行“或”运算。因此，如果你正是用-i来拉出一个端口列表，同时又用-p来拉出一个进程列表，那么默认情况下你会获得两者的结果。

 下面的一些其它东西需要牢记：

- **default** : 没有选项，lsof列出活跃进程的所有打开文件
- **grouping** : 可以分组选项，如-abc，但要当心哪些选项需要参数
- **-a** : 结果进行与运算（而不是或）
+- **默认** : 没有选项，lsof列出活跃进程的所有打开文件
+- **组合** : 可以将选项组合到一起，如-abc，但要当心哪些选项需要参数
+- **-a** : 结果进行“与”运算（而不是“或”）
 - **-l** : 在输出显示用户ID而不是用户名
 - **-h** : 获得帮助
 - **-t** : 仅获取进程ID
 - **-U** : 获取UNIX套接口地址
- **-F** : 输出结果为其它命令准备好，可以通过多种方式格式化，如-F pcfn（用于进程id、命令名、文件描述符、文件名，并以空终止）
+- **-F** : 格式化输出结果，用于其它命令。可以通过多种方式格式化，如-F pcfn（用于进程id、命令名、文件描述符、文件名，并以空终止）

-#### 获取网络信息 ####
+### 获取网络信息 ###

 正如我所说的，我主要将lsof用于获取关于系统怎么和网络交互的信息。这里提供了关于此信息的一些主题：

-### 使用-i显示所有连接 ###
+#### 使用-i显示所有连接 ####

-有些人喜欢用netstat来获取网络连接，但是我更喜欢使用lsof来进行此项工作。结果以对我来说很直观的方式呈现，而我了解到，我仅仅只需改变我的语法，就可以通过同样的命令来获取更多信息。
+有些人喜欢用netstat来获取网络连接，但是我更喜欢使用lsof来进行此项工作。结果以对我来说很直观的方式呈现，我仅仅只需改变我的语法，就可以通过同样的命令来获取更多信息。

 	# lsof -i

@ -46,11 +44,11 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出
    sshd 7703 root 3u IPv6  6499 TCP *:ssh (LISTEN)
    sshd 7892 root 3u IPv6  6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)

-### 使用-i 6仅获取IPv6流量 ###
+#### 使用-i 6仅获取IPv6流量 ####

 	# lsof -i 6

-### 仅显示TCP连接（同理可获得UDP连接） ###
+#### 仅显示TCP连接（同理可获得UDP连接） ####

 你也可以通过在-i后提供对应的协议来仅仅显示TCP或者UDP连接信息。

@ -60,7 +58,7 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出
    sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
    sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)

-### 使用-i:port来显示与指定端口相关的网络信息 ###
+#### 使用-i:port来显示与指定端口相关的网络信息 ####

 或者，你也可以通过端口搜索，这对于要找出什么阻止了另外一个应用绑定到指定端口实在是太棒了。

@ -70,7 +68,7 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出
    sshd 7703 root 3u  IPv6 6499 TCP *:ssh (LISTEN)
    sshd 7892 root 3u  IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)

-### 使用@host来显示指定到指定主机的连接 ###
+#### 使用@host来显示指定到指定主机的连接 ####

 这对于你在检查是否开放连接到网络中或互联网上某个指定主机的连接时十分有用。

@ -78,15 +76,15 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出

    sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED)

-### 使用@host:port显示基于主机与端口的连接 ###
+#### 使用@host:port显示基于主机与端口的连接 ####

 你也可以组合主机与端口的显示信息。

 	# lsof -i@172.16.12.5:22

-    sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)
+    sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED)

-### 找出监听端口 ###
+#### 找出监听端口 ####

 找出正等候连接的端口。

@ -98,7 +96,7 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出

    iTunes     400 daniel   16u  IPv4 0x4575228  0t0 TCP *:daap (LISTEN)

-### 找出已建立的连接 ###
+#### 找出已建立的连接 ####

 你也可以显示任何已经连接的连接。

@ -110,11 +108,11 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出

    firefox-b 169 daniel  49u IPv4 0t0 TCP 1.2.3.3:1863->1.2.3.4:http (ESTABLISHED)

-#### 用户信息 ####
+### 用户信息 ###

 你也可以获取各种用户的信息，以及它们在系统上正干着的事情，包括它们的网络活动、对文件的操作等。

-### 使用-u显示指定用户打开了什么 ###
+#### 使用-u显示指定用户打开了什么 ####

 	# lsof -u daniel

@ -126,7 +124,7 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出
    Dock 155 daniel  txt REG   14,2    212160   823214 /usr/lib/libauto.dylib
    -- snipped --

-### 使用-u ^user来显示除指定用户以外的其它所有用户所做的事情 ###
+#### 使用-u ^user来显示除指定用户以外的其它所有用户所做的事情 ####

 	# lsof -u ^daniel

@ -138,17 +136,17 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出
    Dock 155 jim  txt REG   14,2    212160   823214 /usr/lib/libauto.dylib
    -- snipped --

-### 杀死指定用户所做的一切事情 ###
+#### 杀死指定用户所做的一切事情 ####

 可以消灭指定用户运行的所有东西，这真不错。

 	# kill -9 `lsof -t -u daniel`

-#### 命令和进程 ####
+### 命令和进程 ###

-可以查看指定程序或进程由什么决定，这通常会很有用，而你可以使用lsof通过名称或进程ID过滤来完成这个任务。下面列出了一些选项：
+可以查看指定程序或进程由什么启动，这通常会很有用，而你可以使用lsof通过名称或进程ID过滤来完成这个任务。下面列出了一些选项：

-### 使用-c查看指定的命令正在使用的文件和网络连接 ###
+#### 使用-c查看指定的命令正在使用的文件和网络连接 ####

 	# lsof -c syslog-ng

@ -158,7 +156,7 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出
    syslog-ng 7547 root  txt    REG    3,3  113524  1064970 /usr/sbin/syslog-ng
    -- snipped --

-### 使用-p查看指定进程ID已打开的内容 ###
+#### 使用-p查看指定进程ID已打开的内容 ####

 	# lsof -p 10075

@ -176,13 +174,13 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出
    sshd    10068 root  mem    REG    3,3    9992 850416 /lib/libutil-2.4.so
    -- snipped --

-### -t选项只返回PID ###
+#### -t选项只返回PID ####

 	# lsof -t -c Mail

    350

-#### 文件和目录 ####
+### 文件和目录 ###

 通过查看指定文件或目录，你可以看到系统上所有正与其交互的资源——包括用户、进程等。

@ -197,48 +195,51 @@ Daniel Miessler撰写，首次在他[博客][1]上贴出

 	# lsof /home/daniel/firewall_whitelist.txt

-#### 高级用法 ####
+### 高级用法 ###

 与[tcpdump][4]类似，当你开始组合查询时，它就显示了它强大的功能。

-### 显示daniel连接到1.1.1.1所做的一切 ###
+#### 显示daniel连接到1.1.1.1所做的一切 ####

 	# lsof -u daniel -i @1.1.1.1

    bkdr   1893 daniel 3u  IPv6 3456 TCP 10.10.1.10:1234->1.1.1.1:31337 (ESTABLISHED)

-### 同时使用-t和-c选项以挂起进程 ###
+#### 同时使用-t和-c选项以给进程发送 HUP 信号 ####

 	# kill -HUP `lsof -t -c sshd`

-### lsof +L1显示所有打开的链接数小于1的文件 ###
+#### lsof +L1显示所有打开的链接数小于1的文件 ####

-这通常（当不总是）表示某个攻击者正尝试通过取消文件链接来隐藏文件。
+这通常（当不总是）表示某个攻击者正尝试通过删除文件入口来隐藏文件内容。

 	# lsof +L1

    (hopefully nothing)

-### 显示某个端口范围的开放连接 ###
+#### 显示某个端口范围的打开的连接 ####

    # lsof -i @fw.google.com:2150=2180

-#### 结尾 ####
+### 结尾 ###

-This primer just scratches the surface of lsof‘s functionality. For a full reference, run man lsof or check out [the online version][5]. I hope this has been useful to you, and as always,[comments and corrections are welcomed][6].
 本入门教程只是管窥了lsof功能的一斑，要查看完整参考，运行man lsof命令或查看[在线版本][5]。希望本文对你有所助益，也随时[欢迎你的评论和指正][6]。

 ### 资源 ###

 - lsof手册页：[http://www.netadmintools.com/html/lsof.man.html][7]

+
+本文由 Daniel Miessler撰写，首次在他[博客][1]上贴出
+
+
 --------------------------------------------------------------------------------

 via: http://linuxaria.com/howto/linux-terminal-an-lsof-primer

 作者：[Daniel Miessler][a]
 译者：[GOLinux](https://github.com/GOLinux)
-校对：[校对者ID](https://github.com/校对者ID)
+校对：[wxy](https://github.com/wxy)

 本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译，[Linux中国](http://linux.cn/) 荣誉推出