lsof 与 fuser

lsof

lsof 是 list open files 的缩写，即它能够列出任何文件信息 (Unix/Linux 一切皆文件)。这篇文章介绍了很多 lsof 的用法。(链接备份)

ls 能按条件查找，比如查看用户相关的、或端口相关的、或进程相关的所有文件信息

Mac 的 lsof 缺陷

Mac 系统用 lsof 命令查任何文件，都会卡很久才出结果。

# 实测
> time lsof -n s.js

real    1m55.912s
user    0m0.215s
sys     1m50.129s

Why is lsof on OS X so ridiculously slow?

实测，答案里的这堆参数都加了也没有用。

fuser

fuser 能列出正在对某个文件或端口访问的所有进程。

如果你使用 Linux 系统，但找不到 fuser 这个命令，需要安装 psmisc 工具包。

psmisc: A package of small utilities that use the proc file-system. psmisc 提供以下命令，

• fuser - Identifies processes using files or sockets
• killall - kills processes by name, e.g. killall -HUP named
• prtstat - prints statistics of a process
• pslog - prints log path(s) of a process
• pstree - shows the currently running processes as a tree
• peekfd - shows the data travelling over a file descriptor

fuser 比 lsof 多出一个 -k 参数的功能，它是用来 kill 相关进程。

Mac 的 fuser 缺陷

Mac 系统也有装 fuser，但是这个 fuser 不支持 -k 参数。

而且 Mac 的 fuser 实际会调用 lsof，所以还是会卡很久。

例子，

ps -ef | grep 33447
  501 33447 29390   0  7:25下午 ttys017    0:00.04 /usr/bin/perl -w /usr/bin/fuser README.md
  501 33448 33447   0  7:25下午 ttys017    2:02.26 /usr/sbin/lsof -F pf -- README.md

找回被删除的文件

你甚至可以使用 lsof 来找到被删除的文件！（前提是有某个进程正在使用这个文件）

当 UNIX 计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以恢复这些文件，并且 lsof 可以为您提供帮助。 当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录条目。 Linux 的优点在于，它保存了文件的名称，甚至可以告诉我们它已经被删除。在遭到破坏的系统中查找相关内容时，这是非常有用的内容，因为攻击者通常会删除日志以隐藏他们的踪迹。

umount 与 target is busy

有时候 umount 设备时会报错 target is busy 或者 device is busy。

可以用 sudo lsof $path 或者 sudo fuser -mv $path 查看什么进程在使用这个文件。