Lsof обзор утилиты , примеры использования

Часто бывает что при работе в системах linux вы работаете с дисками или сетевыми хранилищами вы хотите что-то размонтировать и видите подобную картину:

umount /mnt/sdb1/
 umount: /mnt/sdb1: device is busy

Это означает что какой-то процесс в данный момент использует какие-то файлы на этом разделе и бывает трудно понять какой из процессов именно это делает, вот именно в таких случаях и поможет утилита lsof.
Расшифровывается название этой утилиты так: LiSt of Open Files

Создателем утилиты является Victor A. Abell.

Утилита служит для вывода информации о том, какие файлы используются теми или иными процессами, и с помощью неё вы быстро сможете найти интересующий вас процесс и убить его ставится утилита довольно стандартно и в CentOS она находится в стандартном репозитории.

yum install lsof

На этом процесс установки завершен.
Утилита имеет кучу параметров но можно запустить её и без них, правда будет выведено довольно много информации, в моём случае на не самой загруженной системе вывод был настолько большим что оказался с таким количеством строк что putty не позволил мне проскролить к началу вывода

Вот так выглядит обычный вывод lsof

Ради любопытства давайте посчитаем количество строк в выводе

Как видим их не много не мало почти 40 тысяч, естественно не очень удобно работать с такими объёмами информации

Для начала выведем все файлы и процессы владельцем которых является конкретный пользователь, в данном примере это пользователь asterisk, от которого на большинстве АТС при грамотной настройке и работает сам Астериск

Тут уже видна шапка, и мы видим следующие значения в каждой строке (если один процесс открывает много файлов то для каждого будет своя строка в выводе)
Имя процесса, его ID, пользователя которому принадлежит этот процесс, fd это либо номер файлового дискриптора.

описывающий какую-либо сущность, но при этом им не являющийся. Дескриптор файла

Дескриптор файла — часто это переменная того типа данных, который возвращает в вашем ЯП, например, функция открытия файла, в этом случае дескриптор обычно, помимо прочего, содержит сведения об адресе расположения файла (например, пути к нему в рамках файловой системы).) либо может быть одно из буквенных обозначений

• cwd — текущий рабочий каталог
• Ltx — текст разделяемой библиотеки
• mxx — hex memory-mapped type
• mem — файл, загруженный в память, чаще всего — библиотека
• mmap — memory-mapped device
• pd — родительский каталог
• rtd — корневой каталог
• txt — текст программы (код и данные);

Далее идёт тип файла у нас это DIR и REG , REG это обычный файл а DIR это каталог , но могут быть и другие значения :

• BLK -файл блочного устройства

• CHR — файл символьного устройства
• LINK –Симлинк
• INET — Internet-сокет
• UNIX – доменный сокет UNIX

Это самые распространённые типы файлов но их огромное количество так же можно увидеть в мануале

Далее указывается устройство на котором и расположен этот файл , его размер и в конце его имя которое совпадает с его расположением
теперь рассмотрим несколько примеров
ключ –U означает показывать только сокеты UNIX
Теперь выполним следующую команду
lsof –U –u asterisk
так вывод будет показывать все файлы открытые от пользователя asterisk и все открытые сокеты unix

то есть по умолчанию lsof комбинирует ключи как ИЛИ то есть в выводе выше показаны файлы открытые от пользователя  астериск ИЛИ сокеты unix но это явно неудобно так как скорее всего мы хотим отфильтровать вывод по нескольким параметрам а не вывести всё что подходит хотя бы под один из критериев.
Для этого есть опция –а которая позволяет комбинировать опции как И .

То есть если написать команду lsof –a –U –u asterisk то в выводе будут только сокеты UNIX принадлежащие процессам владельцем которых будет пользователь asterisk

Так же необязательно ставить знак – перед каждой опцией а вполне можно писать их вместе без пробелов например так:

Так же есть довольно интересная опция –F которая позволяет показывать вывод не в виде таблицы, а в виде отдельных строк, может быть полезно для передачи данных на обработку другими утилитами

Так же с помощью этой опции можно задавать какие именно строки будут выведены
только те строки которые вас интересуют например командой

lsof -aUu asterisk -F pcn 

мы выведем только идентификатор процесса имя команды и имя файла

Так же опция –R может оказаться довольно полезной так как выводит дополнительный столбец в котором отображается информация об идентификаторе родительского процесса из скриншота ниже можно посмотреть разницу наглядно

Одна из самых полезных опций является +d которая показывает кто и чем занимает файл или устройство. Для примера в другой сессии ssh открою для просмотра файл /usr/src/testlsof.txt

И теперь можно посмотреть кто работает с этой папкой

Здесь видим что пользователь root используя midnight commander(mc) работает с данным каталогом и с конкретным файлом /usr/src/testlsof.txt

Так же можно посмотреть кто использует конкретный файл , для этого никаких опций не требуется а только имя файла интересующего вас

Можно посмотреть какие файлы использует конкретный пользователь например:

Как видим показаны только файлы которые используют процессы владельцем которых является root

Может оказаться полезным посмотреть какие файлы использует конкретный процесс для этого нужно после опции –p указать его идентификатор

Можно так же посмотреть какая программа слушает какой порт и, например, закрыть не нужные чтобы у злоумышленника было меньше возможностей для атаки на ваш сервер, для этого существует опция –i

Последние 2 строчки отображают непосредственно мои 2 подключения по ssh и то что они активны нам показывает запись (ESTABLISHED)  а запись (LISTEN) означает что программа слушает этот порт и он открыт для взаимодействия
тут можно так же отфильтровать например по моему ip

Задаётся фильтр в следующем виде : -i протокол@домен/ip-адресс:порт
Так же очень полезной является опция +L1 которая показывает файлы которые были удалены но все ещё используются какой-то программой , чаще всего логированием, и вы сталкиваетесь с ситуацией что место у вас постоянно заканчивается а найти файлы которые его заменяют вы не можете , тогда просто нужно будет убить процесс который использует этот файл и место сразу же освободится
вот пример файла на 4 гигабайта

На этом знакомство с утилитой можно завершить, но у неё есть ещё целая куча различных опций и применений но они уже довольно специфичны.