lsof(list open files)是一個查看進程打開的文件的工具。

在 linux 系統中，一切皆文件。通過文件不僅僅可以訪問常規數據，還可以訪問網絡連接和硬件。所以 lsof 命令不僅可以查看進程打開的文件、目錄，還可以查看進程監聽的端口等 socket 相關的信息。本文將介紹 lsof 命令的基本用法，本文中 demo 的演示環境為 ubuntu 18.04。

常用選項

-a 指示其它選項之間為與的關系
-c <進程名> 輸出指定進程所打開的文件
-d <文件描述符> 列出占用該文件號的進程
+d <目錄> 輸出目錄及目錄下被打開的文件和目錄(不遞歸)
+D <目錄> 遞歸輸出及目錄下被打開的文件和目錄
-i <條件> 輸出符合條件與網絡相關的文件
-n 不解析主機名
-p <進程號> 輸出指定 PID 的進程所打開的文件
-P 不解析端口號
-t 只輸出 PID
-u 輸出指定用戶打開的文件
-U 輸出打開的 UNIX domain socket 文件
-h 顯示幫助信息
-v 顯示版本信息

基本輸出

如果不帶任何選項執行 lsof 命令，會輸出系統中所有 active 進程打開的所有文件，結果就是我們被輸出的信息所淹沒，這沒有任何的意義。我們先讓 lsof 命令輸出當前 Bash 進程打開的文件，并截取其中的一部分結果來介紹輸出內容中都包含哪些信息：

COMMAND：程序的名稱
PID：進程標識符
USER：進程所有者
FD：文件描述符，應用程序通過文件描述符識別該文件
TYPE：文件類型，如 DIR、REG 等
DEVICE：以逗號分隔設備編號
SIZE：文件的大小(bytes)
NODE：索引節點(文件在磁盤上的標識)
NAME：打開文件的確切名稱

下面簡單介紹一下 FD 列和 TYPE 列中的常見內容。
FD 列中的常見內容有 cwd、rtd、txt、mem 和一些數字等等。其中 cwd 表示當前的工作目錄；rtd 表示根目錄；txt 表示程序的可執行文件；mem 表示內存映射文件：

還有一部分 FD 是以數字表示的，比如標準輸入輸出文件：

數字后面的字母表示進程對該文件的讀寫模式，比如上圖中的 u 表示該文件被打開并處于讀取/寫入模式。除了 u，還有 r 表示只讀模式，w 表示只寫模式，還可以同時應用 W 表示該進程擁有對文件寫操作的鎖。下圖是截取的 docker daemon 進程打開的文件列表，其中顯示了 FD 的不同模式：

TYPE 列中常見的 REG 和 DIR 分別表示普通文件和目錄。而 CHR 和 BLK 則分別表示字符和塊設備，unix、fifo 和 IPv4/IPv6 分別表示 UNIX domain 套接字、先進先出(FIFO)隊列和 IPv4/IPv6 套接字。

下面我們來介紹一些 lsof 命令的常見用法。

查看哪些進程打開了某個文件

直接指定文件的名稱作為 lsof 的參加就可以查看哪些進程打開了這個文件，下面的命令查詢打開了 /bin/bash 文件的進程：

$ sudo lsof /bin/bash

除了普通文件，也可以是設備等文件(下面命令的輸出很長，圖示只是截取的一小部分)：

$ sudo lsof /dev/sda1

查看哪些進程打開了某個目錄及目錄下的文件