1. 从零实现Linux who命令深入理解文件读写与系统编程作为一个常年与Linux打交道的开发者我始终认为理解系统命令的实现原理是提升编程能力的最佳途径。今天我们就来解剖who这个看似简单却内涵丰富的命令通过亲手实现它来掌握Linux文件操作的核心机制。在终端输入who命令时系统会列出当前所有登录用户的信息。这背后其实是一个典型的文件读取过程 - who程序通过解析/var/run/utmp这个特殊文件来获取登录信息。下面我将带您从内核数据结构到实际代码一步步构建我们自己的who实现。2. 理解utmp文件结构2.1 utmp文件的作用与位置Linux系统通过两个关键文件记录用户登录信息/var/run/utmp记录当前登录用户会话/var/log/wtmp记录历史登录信息需要root权限访问这些文件不是普通文本文件而是由固定大小的二进制记录组成。每个登录会话对应一条记录存储在utmp结构体中。我们可以通过查看/usr/include/utmp.h头文件来了解其定义#define UT_NAMESIZE 32 #define UT_LINESIZE 32 struct utmp { short ut_type; // 记录类型 pid_t ut_pid; // 进程ID char ut_line[UT_LINESIZE]; // 终端设备名 char ut_user[UT_NAMESIZE]; // 用户名 struct timeval ut_tv; // 时间戳 // ...其他字段省略 };2.2 关键字段解析特别需要注意ut_type字段它决定了记录的类型USER_PROCESS(7)普通用户登录会话BOOT_TIME(2)系统启动记录DEAD_PROCESS(8)已终止的会话实际编程时我们发现utmp文件中包含各种类型的记录但who命令只显示USER_PROCESS类型的记录。这是第一个需要处理的细节。3. 实现文件读取逻辑3.1 文件操作三部曲Linux文件操作遵循经典的三步模式open() - 打开文件获取文件描述符read() - 循环读取数据close() - 释放资源#include fcntl.h #include unistd.h int main() { int fd open(/var/run/utmp, O_RDONLY); if(fd -1) { perror(open utmp failed); return 1; } struct utmp record; while(read(fd, record, sizeof(record)) sizeof(record)) { // 处理每条记录 } close(fd); return 0; }3.2 读取过程中的关键细节文件打开模式必须使用O_RDONLY因为utmp文件通常不允许写入read()的返回值需要严格检查它可能小于请求的字节数每次读取的字节数必须精确等于sizeof(struct utmp)否则记录会错位我在实际测试中发现如果read长度参数不正确会导致后续所有记录解析错误。这是一个典型的二进制文件处理陷阱。4. 完善信息显示功能4.1 过滤无效记录根据ut_type字段过滤掉非用户会话记录void show_info(struct utmp *ut) { if(ut-ut_type ! USER_PROCESS) return; printf(%-8s %-8s, ut-ut_user, ut-ut_line); // 显示其他信息... }4.2 时间格式转换utmp中存储的时间是从1970年1月1日开始的秒数time_t需要转换为可读格式#include time.h void show_time(time_t tv) { struct tm *tm localtime(tv); printf(%04d-%02d-%02d %02d:%02d, tm-tm_year1900, tm-tm_mon1, tm-tm_mday, tm-tm_hour, tm-tm_min); }注意tm_year是从1900年开始的年数tm_mon从0开始计数这些细节容易出错。5. 完整实现代码以下是经过优化的完整实现#include stdio.h #include utmp.h #include fcntl.h #include unistd.h #include time.h #include stdlib.h #define SHOW_HOSTNAME 1 void show_time(time_t tv) { struct tm *tm localtime(tv); printf(%04d-%02d-%02d %02d:%02d, tm-tm_year1900, tm-tm_mon1, tm-tm_mday, tm-tm_hour, tm-tm_min); } void show_info(struct utmp *ut) { if(ut-ut_type ! USER_PROCESS) return; printf(%-8s %-8s , ut-ut_user, ut-ut_line); show_time(ut-ut_tv.tv_sec); #if SHOW_HOSTNAME if(ut-ut_host[0] ! \0) printf( (%s), ut-ut_host); #endif putchar(\n); } int main() { int fd open(UTMP_FILE, O_RDONLY); if(fd -1) { perror(UTMP_FILE); exit(1); } struct utmp rec; while(read(fd, rec, sizeof(rec)) sizeof(rec)) { show_info(rec); } close(fd); return 0; }编译与测试gcc -o mywho mywho.c ./mywho6. 常见问题与调试技巧6.1 权限问题处理当程序无法打开utmp文件时检查文件路径是否正确不同Linux发行版可能不同确保程序有读取权限普通用户通常可以读取utmp6.2 结构体对齐问题如果遇到字段显示异常可能是结构体对齐问题使用#pragma pack(1)强制1字节对齐或者检查头文件版本是否匹配6.3 时间显示异常如果时间显示不正确检查时区设置/etc/localtime确保系统时间同步ntpdate命令7. 扩展思考与优化方向7.1 性能优化对于大型系统utmp文件可能包含数千条记录使用缓冲读取readv提高效率考虑只读取最新记录从文件尾部反向读取7.2 功能扩展可以增强原始who命令的功能添加登录时长统计支持按用户筛选输出彩色化显示7.3 跨平台兼容不同Unix-like系统的utmp实现略有差异使用autoconf检测系统特性为不同平台提供条件编译通过这个项目我们不仅实现了who命令的核心功能更重要的是掌握了Linux系统编程中文件操作的精髓。这种通过逆向分析系统命令来学习编程的方法可以应用到许多其他Linux命令的研究中。