Как понять какие файлы открыты приложением в Linux

1️⃣ Как кратко ответить

Используйте команду lsof в Linux для определения открытых файлов приложением. Запустите lsof -p <PID>, где <PID> — идентификатор процесса приложения, чтобы получить список всех файлов, открытых этим процессом.

2️⃣ Подробное объяснение темы

В Linux, как и в других UNIX-подобных системах, файлы являются основными строительными блоками, с которыми работают приложения. Это могут быть не только обычные файлы, но и сокеты, каналы, устройства и т.д. Понимание того, какие файлы открыты приложением, может быть полезно для диагностики проблем, управления ресурсами и обеспечения безопасности.

Для этой задачи используется утилита lsof (List Open Files). Она позволяет получить информацию о всех открытых файлах в системе или ограничить вывод файлами, открытыми конкретным процессом.

Установка lsof

На большинстве дистрибутивов Linux lsof предустановлен. Если его нет, установите с помощью пакетного менеджера:

• Debian/Ubuntu: sudo apt-get install lsof
• Red Hat/CentOS: sudo yum install lsof
• Fedora: sudo dnf install lsof

Использование lsof

Основной синтаксис

Команда lsof может быть использована с различными опциями. Основной синтаксис для получения списка файлов, открытых конкретным процессом:

lsof -p <PID>

• -p <PID>: Опция -p указывает на идентификатор процесса (PID), для которого нужно вывести список открытых файлов.

Пример использования

Предположим, у нас есть процесс с PID 1234, и мы хотим узнать, какие файлы он открыл:

lsof -p 1234

Пример вывода

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
bash     1234 user  cwd    DIR  259,1     4096  102 /home/user
bash     1234 user  rtd    DIR  259,1     4096    2 /
bash     1234 user  txt    REG  259,1  1183448  801 /bin/bash
bash     1234 user  mem    REG  259,1   199184  802 /lib/x86_64-linux-gnu/libtinfo.so.6.1
bash     1234 user  mem    REG  259,1  2029224  803 /lib/x86_64-linux-gnu/libc-2.31.so
bash     1234 user    0u   CHR  136,0      0t0    3 /dev/pts/0
bash     1234 user    1u   CHR  136,0      0t0    3 /dev/pts/0
bash     1234 user    2u   CHR  136,0      0t0    3 /dev/pts/0

Пояснение вывода

• COMMAND: Имя команды или приложения.
• PID: Идентификатор процесса.
• USER: Имя пользователя, запустившего процесс.
• FD: Дескриптор файла. Например, cwd — текущий рабочий каталог, txt — текстовый сегмент программы, mem — маппинг в память.
• TYPE: Тип файла. Например, DIR — каталог, REG — обычный файл, CHR — символьное устройство.
• DEVICE: Идентификатор устройства.
• SIZE/OFF: Размер файла или смещение.
• NODE: Номер inode файла.
• NAME: Имя файла или путь к нему.

Зачем это нужно

• Диагностика: Помогает выявить, какие файлы или сокеты использует приложение, что может быть полезно при отладке.
• Управление ресурсами: Позволяет понять, какие ресурсы использует приложение, и оптимизировать их использование.
• Безопасность: Помогает обнаружить подозрительные активности, например, если приложение открывает файлы, которые не должно.

lsof — мощный инструмент для администрирования и диагностики в Linux, который предоставляет детальную информацию о взаимодействии процессов с файловой системой.