脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器Linux → Linux恢复删除文件lsof命令

Linux恢复删除文件的lsof命令详解

 更新时间:2017年01月05日 09:37:26   投稿:daisy  
Linux系统是服务器最常见的操作系统,当然也面临着非常多的安全事件,当发生删除文件错误的时候,恢复文件就尤为重要了,下面这篇文章主要介绍了Linux恢复删除文件的lsof命令,需要的朋友可以参考借鉴,下面来一起看看吧。

lsof命令

lsof命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。找回/恢复删除的文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。

在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

语法

lsof(选项)

参数

      -a:列出打开文件存在的进程;

      -c<进程名>:列出指定进程所打开的文件;

      -g:列出GID号进程详情;

      -d<文件号>:列出占用该文件号的进程;

      +d<目录>:列出目录下被打开的文件;

      +D<目录>:递归列出目录下被打开的文件;

      -n<目录>:列出使用NFS的文件;

      -i<条件>:列出符合条件的进程。(4、6、协议、:端口、 @ip )

      -p<进程号>:列出指定进程号所打开的文件;

      -u:列出UID号进程详情;

      -h:显示帮助信息;

      -v:显示版本信息。

使用

查看

lsof -i :(端口) 查看这个端口有那些进程在访问,比如22端口

shell> lsof -i:22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd  1939 root 3u IPv4 12317  0t0 TCP *:ssh (LISTEN)
sshd  1939 root 4u IPv6 12321  0t0 TCP *:ssh (LISTEN)
sshd  2790 root 3u IPv4 15229  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64601 (ESTABLISHED)
sshd  2824 root 3u IPv4 15528  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64673 (ESTABLISHED)
sshd  2990 root 3u IPv4 15984  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64686 (ESTABLISHED)
sshd 14695 root 3u IPv4 39558  0t0 TCP 192.168.178.128:ssh->192.168.178.1:49662 (ESTABLISHED)

lsof输出各列信息的意义如下:

  1. COMMAND:进程的名称
  2. PID:进程标识符
  3. USER:进程所有者
  4. FD:文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等
  5. TYPE:文件类型,如DIR、REG等
  6. DEVICE:指定磁盘的名称
  7. SIZE:文件的大小
  8. NODE:索引节点(文件在磁盘上的标识)
  9. NAME:打开文件的确切名称

恢复文件

利用lsof可以恢复一些系统日志,前提是这个进程必须存在。这里就拿最常用的/var/log/messages来举例说明,大家在做测试的时候最好先备份一下。

#备份
shell> cp /var/log/message /var/log/message_bac
http://embeddedlinux.org.cn/
shell> lsof |grep /var/log/message
rsyslogd 1737  root 1w  REG    8,2 5716123  652638 /var/log/messages

进程在运行中,接下来我就把/var/log/messages这个文件删掉

shell> rm /var/log/messages

删掉之后,我再来看看这个进程的变化

shell> lsof |grep /var/log/messages
rsyslogd 1737  root 1w  REG    8,2 5716123  652638 /var/log/messages (deleted)

大家看到有变化了吧, 对比两个之后发现多了(deleted)。要找到这个文件在哪还要看看这个

PID:1737 FD:1 那我们有直接进入/proc/1737/FD/1用ll查看一下

shell> cd /proc/1737/fd/
shell> ll

total 0
lrwx------ 1 root root 64 Dec 23 13:00 0 -> socket:[11442]
l-wx------ 1 root root 64 Dec 23 13:00 1 -> /var/log/messages (deleted)
l-wx------ 1 root root 64 Dec 23 13:00 2 -> /var/log/secure
lr-x------ 1 root root 64 Dec 23 13:00 3 -> /proc/kmsg
l-wx------ 1 root root 64 Dec 23 13:00 4 -> /var/log/maillog

看到了1对应/var/log/messages (deleted),看看文件是不是我们要的文件:

shell> head -5 1
Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started.
Nov 14 03:11:11 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1241" x-info="http://www.rsyslog.com"] start
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu
Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.CentOS.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比备份文件:

shell> head -5 /var/log/message_bac
Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started.
Nov 14 03:11:11 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1241" x-info="http://www.rsyslog.com"] start
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu
Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比发现数据是一样的,恢复

shell> cat 1 > /var/log/messages

再次提醒,恢复前提是这个进程必须存在。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。

您可能感兴趣的文章:

相关文章

  • apache Php5配置方法

    apache Php5配置方法

    用了两天的时间,终于把php配置成功了。测试成功了。
    2009-10-10
  • Linux查看程序被Killed的原因及分析

    Linux查看程序被Killed的原因及分析

    文章总结:本文介绍了如何查看系统中被Killed的进程信息,并提供了设定kill优先度的方法,优先度通过oom_adj值来调整,范围为-16到+15,值越高优先级越高,文章还提到如何处理被拒绝访问的命令,并鼓励大家提供支持
    2024-11-11
  • linux输入yum后提示: -bash: /usr/bin/yum: No such file or directory的解决方法

    linux输入yum后提示: -bash: /usr/bin/yum: No such file or director

    在本篇文章里小编给大家整理的是关于linux输入yum后提示: -bash: /usr/bin/yum: No such file or directory的解决方法,有需要的朋友们参考下。
    2019-11-11
  • 查看Linux OS内核与版本的几种命令分享

    查看Linux OS内核与版本的几种命令分享

    文章总结了四种在Linux操作系统中查看内核和版本的方法,并强调了个人经验的价值,鼓励大家参考和使用
    2024-11-11
  • 解决centos7操作系统开机提示error:file“/boot/grub/i386-pc/normal.mod“not found问题

    解决centos7操作系统开机提示error:file“/boot/grub/i386-pc/normal.mod“no

    公司重要业务虚拟机启动失败,提示找不到normal.mod文件,通过救援模式下手动设置grub启动分区和路径,加载基本模块,最终成功进入正常模式并引导系统
    2024-12-12
  • 一文详解Linux系统中的文件描述符与进程数限制

    一文详解Linux系统中的文件描述符与进程数限制

    Linux 系统中,文件描述符和进程数是两个非常重要的系统资源,它们直接影响系统的性能和稳定性,尤其是在高负载的服务器环境中,本文将深入探讨如何查看和调整 Linux 系统中的文件描述符和进程数限制,帮助系统管理员和开发者更好地优化系统配置
    2025-02-02
  • 快速解决linux下中文输入法问题

    快速解决linux下中文输入法问题

    这篇文章主要介绍了linux下中文输入法问题及解决方案,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-07-07
  • Linux服务器如何设置启动自动登录

    Linux服务器如何设置启动自动登录

    在远程操作服务器时,配置自动登录可以带来便利,首先修改/etc/passwd文件,将root用户的密码字段清空,接着,修改/etc/gdm/custom.conf文件,在[daemon]部分添加或修改自动登录的用户信息,完成后重启服务器,即可实现用户自动登录
    2024-09-09
  • CentOS 5.4 Kloxo安装详细说明

    CentOS 5.4 Kloxo安装详细说明

    在centos上安装过N次kloxo,总没有成功,经过几次的折腾,终于安装成功了。
    2010-03-03
  • CentOs 7.*中配置安装phpMyAdmin的完整步骤记录

    CentOs 7.*中配置安装phpMyAdmin的完整步骤记录

    phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的资料库管理工具。下面这篇文章主要给大家介绍了关于CentOs 7.*中配置安装phpMyAdmin的相关资料,需要的朋友可以参考借鉴,下面来一起看看吧
    2018-07-07

最新评论