每个人都知道 PID，究竟什么是 PID？为什么你想要 PID？你打算用 PID 做什么？你脑子里有同样的问题吗？如果是这样，你就找对地方了解这些细节了。

我们查询 PID 主要是用来杀死一个没有响应的程序，它类似于 Windows 任务管理器一样。 Linux GUI 也提供相同的功能，但 CLI 是执行 kill 操作的有效方法。

什么是进程 ID?

PID 代表 进程标识号 process identification ，它在大多数操作系统内核（如 Linux、Unix、macOS 和 Windows）中使用。它是在操作系统中创建时自动分配给每个进程的唯一标识号。一个进程是一个正在运行的程序实例。

建议阅读： 如何查看 Apache Web 服务器在 Linux 中的运行时间

除了 init 进程外其他所有的进程 ID 每次都会改变，因为 init 始终是系统上的第一个进程，并且是所有其他进程的父进程。它的 PID 是 1。

PID 默认的最大值是 32768。可以在你的系统上运行 cat /proc/sys/kernel/pid_max 来验证。在 32 位系统上，32768 是最大值，但是我们可以在 64 位系统上将其设置为最大 2 ^22（约 4 百万）内的任何值。

你可能会问，为什么我们需要这么多的 PID？因为我们不能立即重用 PID，这就是为什么。另外为了防止可能的错误。

系统正在运行的进程的 PID 可以通过使用 pidof、pgrep、ps 和 pstree 命令找到。

方法 1：使用 pidof 命令

pidof 用于查找正在运行的程序的进程 ID。它在标准输出上打印这些 id。为了演示，我们将在 Debian 9（stretch）系统中找出 Apache2 的进程 ID。

# pidof apache2
3754 2594 2365 2364 2363 2362 2361

从上面的输出中，你可能会遇到难以识别进程 ID 的问题，因为它通过进程名称显示了所有的 PID（包括父进程和子进程）。因此，我们需要找出父 PID（PPID），这是我们要查找的。它可能是第一个数字。在本例中，它是 3754，并按降序排列。

方法 2：使用 pgrep 命令

pgrep 遍历当前正在运行的进程，并将符合选择条件的进程 ID 列到标准输出中。

# pgrep apache2
2361
2362
2363
2364
2365
2594
3754

这也与上面的输出类似，但是它将结果从小到大排序，这清楚地说明父 PID 是最后一个。在本例中，它是 3754。

注意： 如果你有多个进程的进程 ID，那么在使用 pidof 和 pgrep 识别父进程 ID 时就可能不会很顺利。

方法 3：使用 pstree 命令

pstree 将运行的进程显示为一棵树。树的根是某个 pid，如果省略了 pid 参数，那么就是 init。如果在 pstree 命令中指定了用户名，则显示相应用户拥有的所有进程。

pstree 会将相同的分支放在方括号中，并添加重复计数的前缀来可视化地合并到一起。

# pstree -p | grep "apache2"
 |- apache2(3754) -|-apache2(2361)
 | |-apache2(2362)
 | |-apache2(2363)
 | |-apache2(2364)
 | |-apache2(2365)
 | `-apache2(2594)

要单独获取父进程，请使用以下格式。

# pstree -p | grep "apache2" | head -1
 |- apache2(3754) -|-apache2(2361)

pstree 命令非常简单，因为它分别隔离了父进程和子进程，但这在使用 pidof 和 pgrep 时命令不容易做到。

方法 4：使用 ps 命令

ps 显示活动进程的选择信息。它显示进程 ID（pid=PID）、与进程关联的终端（tname=TTY）、以 [DD-]hh:mm:ss 格式（time=TIME）显示的累计 CPU 时间、以及执行名（ucmd = CMD）。输出默认是未排序的。

# ps aux | grep "apache2"
www-data 2361 0.0 0.4 302652 9732 ? S 06:25 0:00 /usr/sbin/apache2 -k start
www-data 2362 0.0 0.4 302652 9732 ? S 06:25 0:00 /usr/sbin/apache2 -k start
www-data 2363 0.0 0.4 302652 9732 ? S 06:25 0:00 /usr/sbin/apache2 -k start
www-data 2364 0.0 0.4 302652 9732 ? S 06:25 0:00 /usr/sbin/apache2 -k start
www-data 2365 0.0 0.4 302652 8400 ? S 06:25 0:00 /usr/sbin/apache2 -k start
www-data 2594 0.0 0.4 302652 8400 ? S 06:55 0:00 /usr/sbin/apache2 -k start
root 3754 0.0 1.4 302580 29324 ? Ss Dec11 0:23 /usr/sbin/apache2 -k start
root 5648 0.0 0.0 12784 940 pts/0 S+ 21:32 0:00 grep apache2

从上面的输出中，我们可以根据进程的启动日期轻松地识别父进程 ID（PPID）。在此例中，apache2 启动于 Dec 11，它是父进程，其他的是子进程。apache2 的 PID 是 3754。

via: https://www.2daygeek.com/how-to-check-find-the-process-id-pid-ppid-of-a-running-program-in-linux/

作者：Magesh Maruthamuthu 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

unhide 是一个小巧的网络取证工具，能够发现那些借助 rootkit、LKM 及其它技术隐藏的进程和 TCP/UDP 端口。这个工具在 Linux、UNIX 类、MS-Windows 等操作系统下都可以工作。根据其 man 页面的说明：

Unhide 通过下述三项技术来发现隐藏的进程。

1. 进程相关的技术，包括将 /proc 目录与 /bin/ps 命令的输出进行比较。
2. 系统相关的技术，包括将 /bin/ps 命令的输出结果同从系统调用方面得到的信息进行比较。
3. 穷举法相关的技术，包括对所有的进程 ID 进行暴力求解，该技术仅限于在基于 Linux2.6 内核的系统中使用。

绝大多数的 Rootkit 工具或者恶意软件借助内核来实现进程隐藏，这些进程只在内核内部可见。你可以使用 unhide 或者诸如 rkhunter 等工具，扫描 rootkit 程序 、后门程序以及一些可能存在的本地漏洞。

这篇文章描述了如何安装 unhide 并搜索隐藏的进程和 TCP/UDP 端口。

如何安装 unhide

首先建议你在只读介质上运行这个工具。如果使用的是 Ubuntu 或者 Debian 发行版，输入下述的 apt-get/apt 命令以安装 Unhide：

$ sudo apt-get install unhide

一切顺利的话你的命令行会输出以下内容：

[sudo] password for vivek: 
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Suggested packages:
  rkhunter
The following NEW packages will be installed:
  unhide
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 46.6 kB of archives.
After this operation, 136 kB of additional disk space will be used.
Get:1 http://in.archive.ubuntu.com/ubuntu artful/universe amd64 unhide amd64 20130526-1 [46.6 kB]
Fetched 46.6 kB in 0s (49.0 kB/s)
Selecting previously unselected package unhide.
(Reading database ... 205367 files and directories currently installed.)
Preparing to unpack .../unhide_20130526-1_amd64.deb ...
Unpacking unhide (20130526-1) ...
Setting up unhide (20130526-1) ...
Processing triggers for man-db (2.7.6.1-2) ...

如何在 RHEL/CentOS/Oracle/Scientific/Fedora 上安装 unhide

输入下列 yum Type the following yum command (first turn on EPLE repo on a CentOS/RHEL version 6.x or version 7.x):

输入以下的 yum 命令（CentOS/RHEL 6.x 或 7.x 上首先打开 EPEL 仓库）：

$ sudo yum install unhide

在 Fedora 上则使用以下 dnf 命令：

$ sudo dnf install unhide

如何在 Arch 上安装 unhide

键入以下 pacman 命令安装：

$ sudo pacman -S unhide

如何在 FreeBSD 上安装 unhide

可以通过以下的命令使用 port 来安装 unhide：

# cd /usr/ports/security/unhide/
# make install clean

或者可以通过二进制文件安装 hide，使用 pkg 命令安装：

# pkg install unhide

如何使用 unhide 工具？

unhide 的语法是：

unhide [options] test_list

test_list 参数可以是以下测试列表中的一个或者多个标准测试：

1. brute
2. proc
3. procall
4. procfs
5. quick
6. reverse
7. sys

或基本测试：

1. checkbrute
2. checkchdir
3. checkgetaffinity
4. checkgetparam
5. checkgetpgid
6. checkgetprio
7. checkRRgetinterval
8. checkgetsched
9. checkgetsid
10. checkkill
11. checknoprocps
12. checkopendir
13. checkproc
14. checkquick
15. checkreaddir
16. checkreverse
17. checksysinfo
18. checksysinfo2
19. checksysinfo3

你可以通过以下示例命令使用 unhide：

# unhide proc
# unhide sys
# unhide quick

示例输出：

Unhide 20130526
Copyright © 2013 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info

NOTE : This version of unhide is for systems using Linux >= 2.6 

Used options: 
[*]Searching for Hidden processes through  comparison of results of system calls, proc, dir and ps

如何使用 unhide-tcp 工具辨明 TCP/UDP 端口的身份

以下是来自 man 页面的介绍：

unhide-tcp 取证工具通过对所有可用的 TCP/IP 端口进行暴力求解的方式，辨别所有正在监听，却没有列入 /bin/netstat 或者 /bin/ss 命令输出的 TCP/IP 端口身份。

注一：对于 FreeBSD、OpenBSD系统，一般使用 netstat 命令取代在这些操作系统上不存在的 iproute2，此外，sockstat 命令也用于替代 fuser。

注二：如果操作系统不支持 iproute2 命令，在使用 unhide 时需要在命令上加上 -n 或者 -s 选项。

# unhide-tcp

示例输出：

Unhide 20100201
http://www.security-projects.com/?Unhide

Starting TCP checking

Starting UDP checking

上述操作中，没有发现隐藏的端口。

但在下述示例中，我展示了一些有趣的事。

# unhide-tcp

示例输出：

Unhide 20100201
http://www.security-projects.com/?Unhide


Starting TCP checking

Found Hidden port that not appears in netstat: 1048
Found Hidden port that not appears in netstat: 1049
Found Hidden port that not appears in netstat: 1050
Starting UDP checking

可以看到 netstat -tulpn 和 ss 命令确实没有反映出这三个隐藏的端口：

# netstat -tulpn | grep 1048
# ss -lp
# ss -l | grep 1048

通过下述的 man 命令可以更多地了解 unhide：

$ man unhide
$ man unhide-tcp

Windows 用户如何安装使用 unhide

你可以通过这个页面获取 Windows 版本的 unhide。

via: https://www.cyberciti.biz/tips/linux-unix-windows-find-hidden-processes-tcp-udp-ports.html

作者：Vivek Gite 译者：ljgibbslf 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

本文由 LCTT 原创编译，Linux中国 荣誉推出

本文是关于 fork 和 exec 是如何在 Unix 上工作的。你或许已经知道，也有人还不知道。几年前当我了解到这些时，我惊叹不已。

我们要做的是启动一个进程。我们已经在博客上讨论了很多关于系统调用的问题，每当你启动一个进程或者打开一个文件，这都是一个系统调用。所以你可能会认为有这样的系统调用：

start_process(["ls", "-l", "my_cool_directory"])

这是一个合理的想法，显然这是它在 DOS 或 Windows 中的工作原理。我想说的是，这并不是 Linux 上的工作原理。但是，我查阅了文档，确实有一个 posix\_spawn 的系统调用基本上是这样做的，不过这不在本文的讨论范围内。

fork 和 exec

Linux 上的 posix_spawn 是通过两个系统调用实现的，分别是 fork 和 exec（实际上是 execve），这些都是人们常常使用的。尽管在 OS X 上，人们使用 posix_spawn，而 fork 和 exec 是不提倡的，但我们将讨论的是 Linux。

Linux 中的每个进程都存在于“进程树”中。你可以通过运行 pstree 命令查看进程树。树的根是 init，进程号是 1。每个进程（init 除外）都有一个父进程，一个进程都可以有很多子进程。

所以，假设我要启动一个名为 ls 的进程来列出一个目录。我是不是只要发起一个进程 ls 就好了呢？不是的。

我要做的是，创建一个子进程，这个子进程是我（me）本身的一个克隆，然后这个子进程的“脑子”被吃掉了，变成 ls。

开始是这样的：

my parent
    |- me

然后运行 fork()，生成一个子进程，是我（me）自己的一份克隆：

my parent
    |- me
       |-- clone of me

然后我让该子进程运行 exec("ls")，变成这样：

my parent
    |- me
       |-- ls

当 ls 命令结束后，我几乎又变回了我自己：

my parent
    |- me
       |-- ls (zombie)

在这时 ls 其实是一个僵尸进程。这意味着它已经死了，但它还在等我，以防我需要检查它的返回值（使用 wait 系统调用）。一旦我获得了它的返回值，我将再次恢复独自一人的状态。

my parent
    |- me

fork 和 exec 的代码实现

如果你要编写一个 shell，这是你必须做的一个练习（这是一个非常有趣和有启发性的项目。Kamal 在 Github 上有一个很棒的研讨会：https://github.com/kamalmarhubi/shell-workshop）。

事实证明，有了 C 或 Python 的技能，你可以在几个小时内编写一个非常简单的 shell，像 bash 一样。（至少如果你旁边能有个人多少懂一点，如果没有的话用时会久一点。）我已经完成啦，真的很棒。

这就是 fork 和 exec 在程序中的实现。我写了一段 C 的伪代码。请记住，fork 也可能会失败哦。

int pid = fork();
// 我要分身啦
// “我”是谁呢？可能是子进程也可能是父进程
if (pid == 0) {
    // 我现在是子进程
    // “ls” 吃掉了我脑子，然后变成一个完全不一样的进程
    exec(["ls"])
} else if (pid == -1) {
    // 天啊，fork 失败了，简直是灾难！
} else {
    // 我是父进程耶
    // 继续做一个酷酷的美男子吧
    // 需要的话，我可以等待子进程结束
}

上文提到的“脑子被吃掉”是什么意思呢？

进程有很多属性：

• 打开的文件（包括打开的网络连接）
• 环境变量
• 信号处理程序（在程序上运行 Ctrl + C 时会发生什么？）
• 内存（你的“地址空间”）
• 寄存器
• 可执行文件（/proc/$pid/exe）
• cgroups 和命名空间（与 Linux 容器相关）
• 当前的工作目录
• 运行程序的用户
• 其他我还没想到的

当你运行 execve 并让另一个程序吃掉你的脑子的时候，实际上几乎所有东西都是相同的！ 你们有相同的环境变量、信号处理程序和打开的文件等等。

唯一改变的是，内存、寄存器以及正在运行的程序，这可是件大事。

为何 fork 并非那么耗费资源（写入时复制）

你可能会问：“如果我有一个使用了 2GB 内存的进程，这是否意味着每次我启动一个子进程，所有 2 GB 的内存都要被复制一次？这听起来要耗费很多资源！”

事实上，Linux 为 fork() 调用实现了 写时复制 copy on write ，对于新进程的 2GB 内存来说，就像是“看看旧的进程就好了，是一样的！”。然后，当如果任一进程试图写入内存，此时系统才真正地复制一个内存的副本给该进程。如果两个进程的内存是相同的，就不需要复制了。

为什么你需要知道这么多

你可能会说，好吧，这些细节听起来很厉害，但为什么这么重要？关于信号处理程序或环境变量的细节会被继承吗？这对我的日常编程有什么实际影响呢？

有可能哦！比如说，在 Kamal 的博客上有一个很有意思的 bug。它讨论了 Python 如何使信号处理程序忽略了 SIGPIPE。也就是说，如果你从 Python 里运行一个程序，默认情况下它会忽略 SIGPIPE！这意味着，程序从 Python 脚本和从 shell 启动的表现会有所不同。在这种情况下，它会造成一个奇怪的问题。

所以，你的程序的环境（环境变量、信号处理程序等）可能很重要，都是从父进程继承来的。知道这些，在调试时是很有用的。

via: https://jvns.ca/blog/2016/10/04/exec-will-eat-your-brain/

作者：Julia Evans 译者：jessie-pang 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你经常使用 Linux，你应该遇到这个术语“ 僵尸进程 Zombie Processes ”。 那么什么是僵尸进程？ 它们是怎么产生的？ 它们是否对系统有害？ 我要怎样杀掉这些进程？ 下面将会回答这些问题。

什么是僵尸进程？

我们都知道进程的工作原理。我们启动一个程序，开始我们的任务，然后等任务结束了，我们就停止这个进程。 进程停止后， 该进程就会从进程表中移除。

你可以通过 System-Monitor 查看当前进程。

但是，有时候有些程序即使执行完了也依然留在进程表中。

那么，这些完成了生命周期但却依然留在进程表中的进程，我们称之为 “僵尸进程”。

它们是如何产生的？

当你运行一个程序时，它会产生一个父进程以及很多子进程。 所有这些子进程都会消耗内核分配给它们的内存和 CPU 资源。

这些子进程完成执行后会发送一个 Exit 信号然后死掉。这个 Exit 信号需要被父进程所读取。父进程需要随后调用 wait 命令来读取子进程的退出状态，并将子进程从进程表中移除。

若父进程正确第读取了子进程的 Exit 信号，则子进程会从进程表中删掉。

但若父进程未能读取到子进程的 Exit 信号，则这个子进程虽然完成执行处于死亡的状态，但也不会从进程表中删掉。

僵尸进程对系统有害吗？

不会。由于僵尸进程并不做任何事情， 不会使用任何资源也不会影响其它进程， 因此存在僵尸进程也没什么坏处。 不过由于进程表中的退出状态以及其它一些进程信息也是存储在内存中的，因此存在太多僵尸进程有时也会是一些问题。

你可以想象成这样：

“你是一家建筑公司的老板。你每天根据工人们的工作量来支付工资。 有一个工人每天来到施工现场，就坐在那里， 你不用付钱， 他也不做任何工作。 他只是每天都来然后呆坐在那，仅此而已！”

这个工人就是僵尸进程的一个活生生的例子。但是， 如果你有很多僵尸工人， 你的建设工地就会很拥堵从而让那些正常的工人难以工作。

那么如何找出僵尸进程呢？

打开终端并输入下面命令:

ps aux | grep Z

会列出进程表中所有僵尸进程的详细内容。

如何杀掉僵尸进程？

正常情况下我们可以用 SIGKILL 信号来杀死进程，但是僵尸进程已经死了， 你不能杀死已经死掉的东西。 因此你需要输入的命令应该是

kill -s SIGCHLD pid

将这里的 pid 替换成父进程的进程 id，这样父进程就会删除所有以及完成并死掉的子进程了。

你可以把它想象成：

"你在道路中间发现一具尸体，于是你联系了死者的家属，随后他们就会将尸体带离道路了。"

不过许多程序写的不是那么好，无法删掉这些子僵尸（否则你一开始也见不到这些僵尸了）。 因此确保删除子僵尸的唯一方法就是杀掉它们的父进程。

via: http://www.linuxandubuntu.com/home/what-are-zombie-processes-and-how-to-find-kill-zombie-processes

作者：linuxandubuntu 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

ps aux 以及 ps -elf 都是查看进程的方式，分别来自于 BSD 风格（必须不带 -）和 UNIX 风格（必须带 -），这两种方式都有不少人用，此外除了这种可组合的单字母选项方式之外，还有以 -- 开头的 GNU 选项方式。

这个漫画就是说使用这两种方式的人就像 vim 党和 Emacs 党一样，随时都可能爆发圣战（大误 。

附录：

ps aux 是最常用的 BSD 风格选项组合，其中的 a 简单的说，表示所有关联到终端的进程，如果同时使用 x 则代表所有进程；u 表示列出进程的用户。

另外，可能是由于错用 ps -aux 的人太多，一些新的 ps 版本会在输入 ps -aux 时显示 ps aux 的结果，而不是 ps -aux 原本的意义：列出用户 x 所有的进程，如果没有则报错。

ps -elf 的 -e 代表列出所有进程，-l 代表长格式，-f 代表完整的格式，有时候也用 -F 代表超完整的格式，具体大家试试便知。 不过，不同操作系统（如 Linux、BSD）的 ps 的版本和参数有很大差异，具体还是要以自己的手册而定。

另外一句题外话，之所以 aux 和 -elf 这两种选项组合常用，是由于这个组合正好是易记、易读的英文单词（辅助、精灵），其组合后的用途也很有用。这种情况也出现在其它的常见命令中。

注：本漫画中原来用的是 ps -eLF，在某些版本上这个参数是成立的，但是，大部分情况下都使用的是 ps -elf，因此我们做了修改。

via: http://turnoff.us/geek/one-last-question/

作者：Daniel Stori 译者：name1e5s 校对：wxy 合成：name1e5s 点评：name1e5s

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 的命令行里面有用来停止正在运行的进程的所有所需工具。Jack Wallen 将为您讲述细节。

想像一下：你打开了一个程序（可能来自于你的桌面菜单或者命令行），然后开始使用这个程序，没想到程序会锁死、停止运行、或者意外死机。你尝试再次运行该程序，但是它反馈说原来的进程没有完全关闭。

你该怎么办？你要结束进程。但该如何做？不管你信与不信，最好的解决方法大都在命令行里。值得庆幸的是， Linux 有供用户杀死错误的进程的每个必要的工具，然而，你在执行杀死进程的命令之前，你首先需要知道进程是什么。该如何处理这一类的任务。一旦你能够掌握这种工具，它实际是十分简单的……

让我来介绍给你这些工具。

我来概述的步骤是每个 Linux 发行版都能用的，不论是桌面版还是服务器版。我将限定只使用命令行，请打开你的终端开始输入命令吧。

定位进程

杀死一个没有响应的进程的第一个步骤是定位这个进程。我用来定位进程的命令有两个：top 和 ps 命令。top 是每个系统管理员都知道的工具，用 top 命令，你能够知道到所有当前正在运行的进程有哪些。在命令行里，输入 top 命令能够就看到你正在运行的程序进程（图1）

图 1： top 命令给出你许多的信息。

从显示的列表中你能够看到相当重要的信息，举个例子，Chrome 浏览器反映迟钝，依据我们的 top 命令显示，我们能够辨别的有四个 Chrome 浏览器的进程在运行，进程的 pid 号分别是 3827、3919、10764 和 11679。这个信息是重要的，可以用一个特殊的方法来结束进程。

尽管 top 命令很是方便，但也不是得到你所要信息最有效的方法。 你知道你要杀死的 Chrome 进程是那个，并且你也不想看 top 命令所显示的实时信息。 鉴于此，你能够使用 ps 命令然后用 grep 命令来过滤出输出结果。这个 ps 命令能够显示出当前进程列表的快照，然后用 grep 命令输出匹配的样式。我们通过 grep 命令过滤 ps 命令的输出的理由很简单：如果你只输入 ps 命令，你将会得到当前所有进程的列表快照，而我们需要的是列出 Chrome 浏览器进程相关的。所以这个命令是这个样子：

ps aux | grep chrome

这里 aux 选项如下所示：

• a = 显示所有用户的进程
• u = 显示进程的用户和拥有者
• x = 也显示不依附于终端的进程

当你搜索图形化程序的信息时，这个 x 参数是很重要的。

当你输入以上命令的时候，你将会得到比图 2 更多的信息，而且它有时用起来比 top 命令更有效。

图 2：用 ps 命令来定位所需的内容信息。

结束进程

现在我们开始结束进程的任务。我们有两种可以帮我们杀死错误的进程的信息。

• 进程的名字
• 进程的 ID （PID）

你用哪一个将会决定终端命令如何使用，通常有两个命令来结束进程：

• kill - 通过进程 ID 来结束进程
• killall - 通过进程名字来结束进程

有两个不同的信号能够发送给这两个结束进程的命令。你发送的信号决定着你想要从结束进程命令中得到的结果。举个例子，你可以发送 HUP（挂起）信号给结束进程的命令，命令实际上将会重启这个进程。当你需要立即重启一个进程（比如就守护进程来说），这是一个明智的选择。你通过输入 kill -l 可以得到所有信号的列表，你将会发现大量的信号。

图 3： 可用的结束进程信号。

最经常使用的结束进程的信号是：

好的是，你能用信号值来代替信号名字。所以你没有必要来记住所有各种各样的信号名字。

所以，让我们现在用 kill 命令来杀死 Chrome 浏览器的进程。这个命令的结构是：

kill SIGNAL PID

这里 SIGNAL 是要发送的信号，PID 是被杀死的进程的 ID。我们已经知道，来自我们的 ps 命令显示我们想要结束的进程 ID 号是 3827、3919、10764 和 11679。所以要发送结束进程信号，我们输入以下命令：

kill -9 3827
kill -9 3919
kill -9 10764
kill -9 11679

一旦我们输入了以上命令，Chrome 浏览器的所有进程将会成功被杀死。

我们有更简单的方法！如果我们已经知道我们想要杀死的那个进程的名字，我们能够利用 killall 命令发送同样的信号，像这样：

killall -9 chrome

附带说明的是，上边这个命令可能不能捕捉到所有正在运行的 Chrome 进程。如果，运行了上边这个命令之后，你输入 ps aux | grep chrome 命令过滤一下，看到剩下正在运行的 Chrome 进程有那些，最好的办法还是回到 kIll 命令通过进程 ID 来发送信号值 9 来结束这个进程。

结束进程很容易

正如你看到的，杀死错误的进程并没有你原本想的那样有挑战性。当我让一个顽固的进程结束的时候，我趋向于用 killall命令来作为有效的方法来终止，然而，当我让一个真正的活跃的进程结束的时候，kill命令是一个好的方法。

via: https://www.linux.com/learn/intro-to-linux/2017/5/how-kill-process-command-line

作者：JACK WALLEN 译者：hwlog 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出