LSOF-kommandolinjeverktøyet er svært fordelaktig for systemadministratorer og utviklere ved å tillate dem å:
- Bestem prosessene som for øyeblikket bruker en bestemt fil eller port, spesielt viktig i tilfelle portkonflikter
- Oppdag filene som har blitt slettet, men som fortsatt er åpne av prosesser som kan føre til unødvendig plassforbruk; LSOF-kommandoen tjener til å identifisere og adressere slike tilfeller
- Hjelper effektivt med feilsøking av feil, for eksempel 'porten er allerede i bruk'.
- Hold oversikt over nettverksaktivitet og åpne nettverkstilkoblinger for overvåkingsformål
- Undersøk filtilgangsmønstre, og bidra til å identifisere potensielle sikkerhetsbrudd
I denne opplæringen lærer du hvordan du bruker LSOF-kommandoen til å overvåke sanntidsportene.
Grunnleggende syntaks for LSOF-kommandoen
Syntaksen til LSOF-kommandoen er som følger:
$ lsof [ alternativer ] [ navn ]
Alternativer er flaggene som brukes med LSOF-kommandoen. Navn representerer filnavn, PID-er (prosess-ID-er), brukernavn eller nettverksfiler (IPv4, IPv6). Avhengig av de angitte alternativene, viser LSOF-kommandoen en liste over åpne filer som tilsvarer disse navnene.
Overvåk porter i sanntid ved å bruke LSOF-kommandoen
LSOF er inkludert som standard i mange Linux-systemer. Du må manuelt laste ned og installere en av de tilgjengelige pakkene hvis den ikke er installert. For å sjekke LSOF-installasjonen på systemet ditt, bruk følgende kommando for å vise den installerte versjonen:
$ lsof -i
Det er viktig å merke seg at for å bruke LSOF-kommandoen med passende tillatelser, kan noe informasjon om prosesser og nettverkstilkoblinger kreve de forhøyede superbrukerrettighetene, og du må kanskje bruke 'sudo' for å kjøre kommandoen med administrative rettigheter.
List opp nettverksfilene
Når du kjører LSOF-kommandoen med '-i'-alternativet, viser den informasjonen om prosesser som har nettverkstilkoblinger som lyttekontakter eller etablerte tilkoblinger.
$ lsof –iDen forrige kommandoen viser informasjonen om prosessnavnet (KOMMANDO), prosess-ID (PID), bruker (BRUKER), filbeskrivelse (FD), type tilkobling (TYPE), lokale og eksterne adresser og tilkoblingstilstanden. Du bør se følgende utgang:
Liste over TCP-tilkoblingene
Du kan filtrere utdataene basert på spesifikke kriterier som de spesielle typene tilkoblinger eller porter. For eksempel kan du bruke 'lsof -i tcp' for å liste bare prosessene knyttet til en TCP-tilkobling.
$ lsof -Jeg tcp: 1 - 1024Den forrige kommandoen filtrerer informasjonen om prosesser som har åpne TCP-forbindelser innenfor det angitte portområdet fra 1 til 1024. Dette kan være nyttig for å identifisere hvilke prosesser som bruker de velkjente portene knyttet til vanlige tjenester.
Overvåk en bestemt port i sanntid
Ved å bruke LSOF kan du overvåke en bestemt port i sanntid. For eksempel vil du overvåke prosessene knyttet til 'HTTP' på port 80 som oppdateres hvert tredje sekund. For å gjøre dette, overvåk port 80 i sanntid med følgende kommando:
$ lsof -Jeg : 80 -r3 
Overvåk SSHD-port 22 i sanntid
For å overvåke alle SSHD-tilkoblinger som kjører på port 22, kjør følgende kommando:
$ sudo lsof -Jeg : 22 -r3Denne kommandoen overvåker og viser kontinuerlig sanntidsinformasjon om nettverkstilkoblinger på port 22 hvert tredje sekund. Dette er spesielt nyttig for å spore endringene, for eksempel nye SSH-tilkoblinger eller frakoblinger, ettersom de skjer i sanntid.
Overvåk portområdet i sanntid
For å overvåke informasjonen om prosesser i sanntid som har åpne TCP-forbindelser innenfor det angitte portområdet fra 1 til 1024, kan du bruke følgende kommando:
$ lsof -Jeg tcp: 1 - 1024 -r3 
Overvåk alle porter i sanntid
Du kan overvåke alle nettverkstilkoblinger i sanntid ved å bruke LSOF-kommandoen. For eksempel, du ønsker å kjøre kontinuerlig overvåke og vise sanntidsinformasjon om nettverkstilkoblinger hvert 5. sekund.
$ lsof -Jeg -r5Følgende utgang inkluderer detaljene om prosesser og deres tilknyttede nettverkskontakter i sanntid etter hvert 5. sekund:
På samme måte kan du også overvåke bare de 'etablerte' forbindelsene med LSOF-kommandoen:
$ lsof -Jeg -OG -r10 
Konklusjon
I denne opplæringen lærte vi hvordan du overvåker portene i sanntid ved å bruke LSOF-kommandoen. Denne kommandoen kan også hjelpe systemadministratorer og andre Linux-brukere med å overvåke nettverkstilkoblingene, inkludert alle aktive eller åpne porter. Vi håper at denne veiledningen vil hjelpe deg å forstå hvordan du bruker LSOF-kommandoen med forskjellige alternativer og overvåker de forskjellige portene og prosessene i sanntid.