Linux恢复删除文件的lsof命令详解

 更新时间:2017年01月05日 09:37:26   投稿:daisy  
Linux系统是服务器最常见的操作系统,当然也面临着非常多的安全事件,当发生删除文件错误的时候,恢复文件就尤为重要了,下面这篇文章主要介绍了Linux恢复删除文件的lsof命令,需要的朋友可以参考借鉴,下面来一起看看吧。

lsof命令

lsof命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。找回/恢复删除的文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。

在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

语法

lsof(选项)

参数

      -a:列出打开文件存在的进程;

      -c<进程名>:列出指定进程所打开的文件;

      -g:列出GID号进程详情;

      -d<文件号>:列出占用该文件号的进程;

      +d<目录>:列出目录下被打开的文件;

      +D<目录>:递归列出目录下被打开的文件;

      -n<目录>:列出使用NFS的文件;

      -i<条件>:列出符合条件的进程。(4、6、协议、:端口、 @ip )

      -p<进程号>:列出指定进程号所打开的文件;

      -u:列出UID号进程详情;

      -h:显示帮助信息;

      -v:显示版本信息。

使用

查看

lsof -i :(端口) 查看这个端口有那些进程在访问,比如22端口

shell> lsof -i:22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd  1939 root 3u IPv4 12317  0t0 TCP *:ssh (LISTEN)
sshd  1939 root 4u IPv6 12321  0t0 TCP *:ssh (LISTEN)
sshd  2790 root 3u IPv4 15229  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64601 (ESTABLISHED)
sshd  2824 root 3u IPv4 15528  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64673 (ESTABLISHED)
sshd  2990 root 3u IPv4 15984  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64686 (ESTABLISHED)
sshd 14695 root 3u IPv4 39558  0t0 TCP 192.168.178.128:ssh->192.168.178.1:49662 (ESTABLISHED)

lsof输出各列信息的意义如下:

  1. COMMAND:进程的名称
  2. PID:进程标识符
  3. USER:进程所有者
  4. FD:文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等
  5. TYPE:文件类型,如DIR、REG等
  6. DEVICE:指定磁盘的名称
  7. SIZE:文件的大小
  8. NODE:索引节点(文件在磁盘上的标识)
  9. NAME:打开文件的确切名称

恢复文件

利用lsof可以恢复一些系统日志,前提是这个进程必须存在。这里就拿最常用的/var/log/messages来举例说明,大家在做测试的时候最好先备份一下。

#备份
shell> cp /var/log/message /var/log/message_bac
http://embeddedlinux.org.cn/
shell> lsof |grep /var/log/message
rsyslogd 1737  root 1w  REG    8,2 5716123  652638 /var/log/messages

进程在运行中,接下来我就把/var/log/messages这个文件删掉

shell> rm /var/log/messages

删掉之后,我再来看看这个进程的变化

shell> lsof |grep /var/log/messages
rsyslogd 1737  root 1w  REG    8,2 5716123  652638 /var/log/messages (deleted)

大家看到有变化了吧, 对比两个之后发现多了(deleted)。要找到这个文件在哪还要看看这个

PID:1737 FD:1 那我们有直接进入/proc/1737/FD/1用ll查看一下

shell> cd /proc/1737/fd/
shell> ll

total 0
lrwx------ 1 root root 64 Dec 23 13:00 0 -> socket:[11442]
l-wx------ 1 root root 64 Dec 23 13:00 1 -> /var/log/messages (deleted)
l-wx------ 1 root root 64 Dec 23 13:00 2 -> /var/log/secure
lr-x------ 1 root root 64 Dec 23 13:00 3 -> /proc/kmsg
l-wx------ 1 root root 64 Dec 23 13:00 4 -> /var/log/maillog

看到了1对应/var/log/messages (deleted),看看文件是不是我们要的文件:

shell> head -5 1
Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started.
Nov 14 03:11:11 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1241" x-info="http://www.rsyslog.com"] start
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu
Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.CentOS.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比备份文件:

shell> head -5 /var/log/message_bac
Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started.
Nov 14 03:11:11 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1241" x-info="http://www.rsyslog.com"] start
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu
Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比发现数据是一样的,恢复

shell> cat 1 > /var/log/messages

再次提醒,恢复前提是这个进程必须存在。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。

相关文章

  • centos8安装图解(超详细教程)

    centos8安装图解(超详细教程)

    CentOS 完全遵守 Red Hat 的再发行政策,并且致力与上游产品在功能上完全兼容。这篇文章主要介绍了centos8安装图解,最详细的一篇教程,本文图文子相结合给大家介绍的非常详细,需要的朋友可以参考下
    2019-10-10
  • Ubuntu18.04更换国内源的方法示例

    Ubuntu18.04更换国内源的方法示例

    这篇文章主要介绍了Ubuntu18.04更换国内源的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-12-12
  • centos下yum搭建安装linux+apache+mysql+php环境的方法

    centos下yum搭建安装linux+apache+mysql+php环境的方法

    这篇文章主要介绍了centos下yum搭建安装linux+apache+mysql+php环境的方法,本文分步骤给大家介绍的非常详细,具有参考借鉴价值,需要的朋友可以参考下
    2016-10-10
  • linux 查看磁盘空间大小命令

    linux 查看磁盘空间大小命令

    本篇文章主要介绍了linux 查看磁盘空间大小情况,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2016-12-12
  • 使用yum查看工具lspci所在包并安装的方法(详解)

    使用yum查看工具lspci所在包并安装的方法(详解)

    下面小编就为大家带来一篇使用yum查看工具lspci所在包并安装的方法(详解)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2016-11-11
  • ubuntu下安装Python多版本的方法及注意事项

    ubuntu下安装Python多版本的方法及注意事项

    倒霉的今天我居然把ubuntu系统给完坏了,因为我把python3卸载了,然后就哦了,下面小编给大家分享下ubuntu下管理python的多个版本的方法,本文给大家介绍的非常详细,感兴趣的朋友一起看下吧
    2016-10-10
  • linux服务器被植入ddgs、qW3xT.2挖矿病毒的处理实战记录

    linux服务器被植入ddgs、qW3xT.2挖矿病毒的处理实战记录

    这篇文章主要给大家介绍了关于linux服务器被植入ddgs、qW3xT.2挖矿病毒的处理的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起看看吧
    2018-09-09
  • linux服务器下完美解决无法删除虚拟主机文件或文件夹

    linux服务器下完美解决无法删除虚拟主机文件或文件夹

    大家在使用Linux的虚拟主机时候有没有出现过通过FTP无法删除网站路径中的一些文件夹和文件,FTP工具软件会提示Permission Denied(没有权限),或者 550删除目录操作失败
    2016-08-08
  • linux中$符号的基础用法总结

    linux中$符号的基础用法总结

    这篇文章主要给大家介绍了关于linux中$符号的基础用法,文中通过示例代码介绍的非常详细,对大家学习或者使用linux系统具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
    2019-11-11
  • linux服务器磁盘扩容的方法(图)

    linux服务器磁盘扩容的方法(图)

    如果你的linux服务器磁盘不够用了,那就需要给磁盘扩容了,下面我们介绍一下linux服务器磁盘扩容的方法,大家参考使用吧
    2014-01-01

最新评论