linuxlsof(linux lsof命令详解)

linux删除文件后空间无法释放？lsof没有结果。重启无效。请问各位高手还有别的办法吗？

确定是删除掉了么用df-h看看是多少

然后再用du-sh*

一步一步的追溯下去，看看到底是哪个文件占用了你的空间

本回答由网友推荐

关于lsof命令查看某个文件被哪个进程打开

lsof（listopenfiles）是一个列出当前系统打开文件的工具。在Linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议(tcp)和用户数据报协议(udp)套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

lsof使用

lsof输出信息含义：

在终端下输入lsof即可显示系统打开的文件，因为lsof需要访问核心内存和各种文件，所以必须以root用户的身份运行它才能够充分地发挥其功能。

commandpiduserfdtypedevicesizenodename

init1rootcwddir3,310242/

init1rootrtddir3,310242/

init1roottxtreg3,3384321763452/sbin/init

init1rootmemreg3,31061141091620/lib/libdl-2.6.so

init1rootmemreg3,375606961091614/lib/libc-2.6.so

init1rootmemreg3,3794601091669/lib/libselinux.so.1

init1rootmemreg3,32232801091668/lib/libsepol.so.1

init1rootmemreg3,35641361091607/lib/ld-2.6.so

init1root10ufifo0,151309/dev/initctl

每行显示一个打开的文件，若不指定条件默认将显示所有进程打开的所有文件。lsof输出各列信息的意义如下：

command：进程的名称

pid：进程标识符

user：进程所有者

fd：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等

type：文件类型，如dir、reg等

device：指定磁盘的名称

size：文件的大小

node：索引节点（文件在磁盘上的标识）

name：打开文件的确切名称

其中fd列中的文件描述符cwd值表示应用程序的当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改。txt类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的/sbin/init程序。其次数值表示应用程序的文件描述符，这是打开该文件时返回的一个整数。如上的最后一行文件/dev/initctl，其文件描述符为10。u表示该文件被打开并处于读取/写入模式，而不是只读R或只写w模式。同时还有大写的w表示该应用程序具有对整个文件的写锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时，都具有三个文件描述符，从0到2，分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件的fd都是从3开始。

与fd列相比，type列则比较直观。文件和目录分别称为reg和dir。而chr和blk，分别表示字符和块设备；或者unix、fifo和ipv4，分别表示unix域套接字、先进先出(fifo)队列和网际协议(ip)套接字。

lsof常用参数

lsof常见的用法是查找应用程序打开的文件的名称和数目。可用于查找出某个特定应用程序将日志数据记录到何处，或者正在跟踪某个问题。例如，linux限制了进程能够打开文件的数目。通常这个数值很大，所以不会产生问题，并且在需要时，应用程序可以请求更大的值（直到某个上限）。如果你怀疑应用程序耗尽了文件描述符，那么可以使用lsof统计打开的文件数目，以进行验证。lsof语法格式是：

#lsof［options］filename

常用的参数列表：

lsoffilename显示打开指定文件的所有进程

lsof-a表示两个参数都必须满足时才显示结果

lsof-cstring显示command列中包含指定字符的进程所有打开的文件

lsof-uusername显示所属user进程打开的文件

lsof-ggid显示归属gid的进程情况

lsof+d/dir/显示目录下被进程打开的文件

lsof+d/dir/同上，但是会搜索目录下的所有目录，时间相对较长

lsof-dfd显示指定文件描述符的进程

lsof-n不将ip转换为hostname，缺省是不加上-n参数

lsof-i用以显示符合条件的进程情况

lsof-i[46][protocol][@hostname|hostaddr][:service|port]

46-->ipv4oripv6

protocol-->tcporudp

hostname-->internethostname

hostaddr-->ipv4地址

service-->/etc/service中的servicename(可以不只一个)

port-->端口号(可以不只一个)

例如：查看22端口现在运行的情况

#lsof-i:22

commandpiduserfdtypedevicesizenodename

sshd1409root3uipv65678tcp*:ssh(listen)

查看所属root用户进程所打开的文件类型为txt的文件：

#lsof-a-uroot-dtxt

commandpiduserfdtypedevicesizenodename

init1roottxtreg3,3384321763452/sbin/init

mingetty1632roottxtreg3,3143661763337/sbin/mingetty

mingetty1633roottxtreg3,3143661763337/sbin/mingetty

mingetty1634roottxtreg3,3143661763337/sbin/mingetty

mingetty1635roottxtreg3,3143661763337/sbin/mingetty

mingetty1636roottxtreg3,3143661763337/sbin/mingetty

mingetty1637roottxtreg3,3143661763337/sbin/mingetty

kdm1638roottxtreg3,31325481428194/usr/bin/kdm

x1670roottxtreg3,317163961428336/usr/bin/xorg

kdm1671roottxtreg3,31325481428194/usr/bin/kdm

startkde2427roottxtreg3,36454081544195/bin/bash

......

lsof使用实例

一、查找谁在使用文件系统

在卸载文件系统时，如果该文件系统中有任何打开的文件，操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统，如下：

#lsof/gtes11/

commandpiduserfdtypedevicesizenodename

bash4208rootcwddir3,140962/gtes11/

vim4230rootcwddir3,140962/gtes11/

在这个示例中，用户root正在其/gtes11目录中进行一些操作。一个bash是实例正在运行，并且它当前的目录为/gtes11，另一个则显示的是vim正在编辑/gtes11下的文件。要成功地卸载/gtes11，应该在通知用户以确保情况正常之后，中止这些进程。这个示例说明了应用程序的当前工作目录非常重要，因为它仍保持着文件资源，并且可以防止文件系统被卸载。这就是为什么大部分守护进程（后台进程）将它们的目录更改为根目录、或服务特定的目录（如sendmail示例中的/var/spool/mqueue）的原因，以避免该守护进程阻止卸载不相关的文件系统。

二、恢复删除的文件

当linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。

当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。

在/proc目录下，其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域，所以这些文件和目录并不存在于磁盘中，因此当我们对这些文件进行读取和写入时，实际上是在从内存中获取相关信息。大多数与lsof相关的信息都存储于以进程的pid命名的目录中，即/proc/1234中包含的是pid为1234的进程的信息。每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。

当系统中的某个文件被意外地删除了，只要这个时候系统中还有进程正在访问该文件，那么我们就可以通过lsof从/proc目录下恢复该文件的内容。假如由于误操作将/var/log/messages文件删除掉了，那么这时要将/var/log/messages文件恢复的方法如下：

首先使用lsof来查看当前是否有进程打开/var/logmessages文件，如下：

#lsof|grep/var/log/messages

syslogd1283root2wreg3,353810171773647/var/log/messages(deleted)

从上面的信息可以看到pid1283（syslogd）打开文件的文件描述符为2。同时还可以看到/var/log/messages已经标记被删除了。因此我们可以在/proc/1283/fd/2（fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下：

#head-n10/proc/1283/fd/2

aug413:50:15holmes86syslogd1.4.1:restart.

aug413:50:15holmes86kernel:klogd1.4.1,logsource=/proc/kmsgstarted.

aug413:50:15holmes86kernel:linuxversion2.6.22.1-8(root@everestbuilder.linux-ren.org)(gccversion4.2.0)#1smpwedjul1811:18:32edt2007

aug413:50:15holmes86kernel:bios-providedphysicalrammap:

aug413:50:15holmes86kernel:bios-e820:0000000000000000-000000000009f000(usable)

aug413:50:15holmes86kernel:bios-e820:000000000009f000-00000000000a0000(reserved)

aug413:50:15holmes86kernel:bios-e820:0000000000100000-000000001f7d3800(usable)

aug413:50:15holmes86kernel:bios-e820:000000001f7d3800-0000000020000000(reserved)

aug413:50:15holmes86kernel:bios-e820:00000000e0000000-00000000f0007000(reserved)

aug413:50:15holmes86kernel:bios-e820:00000000f0008000-00000000f000c000(reserved)

从上面的信息可以看出，查看/proc/8663/fd/15就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据，那么就可以使用i/o重定向将其复制到文件中，如：

#cat/proc/1283/fd/2>/var/log/messages

对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。

#lsof-i:3306

查看3306端口被谁占用

UbuntuLinux命令一句话技巧集合LinuxWeb服务器网站故障分析常用的命令

抱歉，暂无相关内容！

10个你需要了解的Linux网络和监控命令

30个实用的Linuxfind命令示例

Git命令10个很有用的使用技巧

本回答由提问者推荐

linux loopback什么意思？

Loopback接口是一个虚拟网络接口，在不同的领域，其含义也大不一样。

1． TCP/IP协议栈中的loopback接口

在TCP/IP中回环设备是一个通过软件实现的虚拟网络接口，它不与任何硬件相关联。loopback接口一般被完整的集成在计算机系统的内部网络框架中。

IP协议中的loopback地址

RFC2606中明确指出了loopback地址的标准域名为localhost。在IPv4中，其对应的IP地址一直是127.0.0.1；理论上，整个127IP段（127.0.0.0~127.255.255.255）的IP地址都为loopback地址，与localhost对应。在IPv6中，localhost对应的IP地址为0:0:0:0:0:0:0:1，一般写作::1。

loopback接口的功能

用于网络服务测试，避免由于远程网络接入带来的安全问题；

一般用作client/server类的网络服务的测试，在测试时，client与server运行在同一台主机上，client通过使用loopback地址访问server。最常见的例子就是web服务的测试，一般我们用或者来访问本地的web服务。

测试IP协议栈

我们通过ping loopback地址的方式来测试操作系统中IP协议栈是否正常。

在网络中，所有源地址属于loopback地址的数据包将会被丢弃

IP协议规定loopback数据包是不允许在网络中传输的。网络网络接口必须丢弃接收到的loopback数据包。

2． 网络设备中的loopback

在网络设备中，loopback被用来代表某些用于管理目的的虚拟接口，其含义并没有"回环"的意思。

loopback虚拟接口会分配到一个IP地址，但是这个IP地址不会对应到实际的物理接口。网络设备中的loopback地址主要用于管理目的，例如设备发出的报警。网络设备中的应用程序（管理程序）使用loopback地址发送可接收数据流，而不是使用实际物理接口的地址。对外部来说，直接使用loopback地址来查看设备对应的信息（如报警信息），与网卡的物理地址无关。

这里我们也可以把这种地址理解为网络设备提供的某个服务的地址。

3． 通信中的loopback

在通信领域，loopback是指通过软件或硬件的方式，将接收到的信号或数据直接返回给发送者的测试方法。作为一种测试方法，很多通信设备都可以配置端口的数据发送模式（例如all ones模式），来检测同一个端口上的信号接收。这种测试也叫"回环测试"。

硬件loopback

一般指在物理上把发送和接收通道相连。这样，所有通过loopback设备发送的数据包将会被自己接收。一般通过这种物理回环设备来测试不同位置两点之间的电路连接，例如在一端发送测试信号，然后通过在不同的位置使用回环设备返回发送信号的方法了测试各阶段的连接情况。

linux删除文件后空间无法释放？lsof没有结果。重启无效。请问各位高手还有别的办法吗？

确定是删除掉了么 用df -h看看是多少

然后再用du -sh *

一步一步的追溯下去，看看到底是哪个文件占用了你的空间你好！

我也遇到了这个问题，重启也不释放，逐个目录du 也没有大目录，楼主解决了吗？

如有疑问，请追问。