linux下误删文件使用lsof恢复
lsof命令是一个列出当前系统打开文件的工具,功能强大 。 lsof 允许对核心内存进行查看,以找出系统当前如何使用这些文件。最简单的用法是查看那些进程打开了那些文件,以及那些文件由哪些进程打开。收集应用程序工作情况的信息时,或在进行某些可能损坏的数据操作前,确保文件未被使用
参数说明
-a 两个参数都满足时才显示结果
-c string 显示COMMAND列包含指定字符的进程打开的文件
-u username 显示所属用user 进程打开的文件
-g gid 显示归属gid的进程情况
+d /DIR 显示目录下被进程打开的文件
+D /DIR 搜索目录下的所有目录
-d FD 显示指定文件描述符的进程
-n 不将ip转换为hostname
-i 用以显示符合条件的进程
命令使用
1.基本使用
lsof
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root cwd DIR 3,3 1024 2 /
init 1 root rtd DIR 3,3 1024 2 /
init 1 root txt REG 3,3 38432 1763452 /sbin/init
init 1 root mem REG 3,3 106114 1091620 /lib/libdl-2.6.so
init 1 root mem REG 3,3 7560696 1091614 /lib/libc-2.6.so
参数 | 说明 |
---|---|
COMMAND | 进程的名称 |
PID | 进程标识符 |
USER | 进程所有者 |
FD | 文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等 |
TYPE | 文件类型,如DIR、REG等 |
DEVICE | 指定磁盘的名称 |
SIZE | 文件的大小 |
NODE | 索引节点(文件在磁盘上的标识) |
NAME | 打开文件的确切名称 |
2.查看22端口的运行情况
lsof -i :22
3.查看root 用户进程所打开的文件类型为txt的文件
lsof -a -u root -d txt
4.指定进程打开的文件类型为txt的文件
lsof -a -p 605 -d ^txt
5.使用lsof显示关于某个文件的信息
lsof /var/run/sendmail.pid
6.搜索活动的连接
lsof -i @127.0.0.1 -n
7.查看未释放的文件
ls -ld /proc/*/fd/* | grep deleted
关于文件描述符的介绍
文件描述符,是在操作系统中用于标识和访问文件或输入/输出设备的抽象概念。每个打开的文件、设备或网络连接都会分配一个唯一的文件描述符作为其标识符。
echo this is a test >input
exec 5 <input
cat <&5
exec 4>output
echo newline>&4
cat output
newline
文件删除,恢复实验,利用lsof
查找谁在使用文件系统
sudo mount -o loop CentOS-6.2-x86_64-bin-DVD1.iso /mnt/dir/
tail -f /mnt/dir/TRANS.TBL
sudo umount /mnt/dir
lsof /mnt/dir
kill -9 pid
sudo umount /mnt/dir
恢复删除的小文件
touch test
echo my test file > test
tail -f test
rm -f test
lsof | grep test
cat /proc/5433/fd/3
cat /proc/5433/fd/3 > test