文件安全与权限：Shell编程中的文件控制

需积分: 10 23 浏览量更新于2024-07-18 2 收藏 19.67MB PDF 举报

"shell编程大全" 在Linux或Unix操作系统中，Shell编程是系统管理的核心技能之一，它允许用户通过命令行界面与系统交互并执行各种自动化任务。在Shell编程中，理解文件的安全性和权限管理至关重要，因为这直接影响到系统的安全性和用户的数据保护。文件和目录的权限是系统安全的基础。每个文件和目录都有三个级别的权限：属主（owner）、同组（group）和其他用户（others）。每个级别都有读（read）、写（write）和执行（execute）三种权限。例如，"-rw-r--r--"这样的权限表示属主有读写权限，同组用户和其他用户只有读权限。使用`ls -l`命令可以查看文件的详细信息，包括权限位、文件所有者、组、大小、修改时间和文件名。 setuid（Set User ID）权限是一种特殊权限，当一个设置了setuid位的文件被执行时，进程将继承文件所有者的权限，而不是执行它的用户权限。这在需要非所有者执行特定操作（如sudo命令）时非常有用，但同时也增加了安全风险。 `chown`和`chgrp`命令用于更改文件的所有者和组，而`chmod`用于调整文件的权限。`umask`则定义了创建新文件时的默认权限，它是一个掩码，用于确定哪些权限将被禁止。了解和正确使用umask可以帮助确保文件创建时具有合适的初始访问控制。符号链接（symbolic link）是文件系统的一个特性，它创建了一个指向另一个文件的指针。符号链接允许用户创建指向不同位置的文件或目录的快捷方式，但同时也可能带来安全问题，因为它们可以被用来绕过访问控制。在处理文件安全时，必须谨慎使用这些工具和概念，以防止未授权访问。例如，不应随意给予执行权限，尤其是对可执行文件，因为这可能导致恶意代码执行。同时，对敏感数据和系统文件的权限设置应格外小心，通常应限制不必要的读写访问。了解和掌握文件安全与权限是每一个Shell程序员和系统管理员的必备技能。通过熟练运用这些工具和知识，可以有效地保护系统免受潜在的攻击，并确保数据的安全。在深入学习Shell编程的过程中，对这些基础概念的理解和应用能力将直接影响到你处理复杂系统问题的能力。

$ find . -name "[a-z][a-z][0--9][0--9].txt" -print

2.1.2 使用perm选项

如果希望按照文件权限模式来查找文件的话，可以采用 - p e r m 选项。你可能需要找到所有

用户都具有执行权限的文件，或是希望查看某个用户目录下的文件权限类型。在使用这一选

项的时候，最好使用八进制的权限表示法。

为了在当前目录下查找文件权限位为 7 5 5的文件，即文件属主可以读、写、执行，其他用

户可以读、执行的文件，可以用：

$ find . -perm 755 -print

如果希望在当前目录下查找所有用户都可读、写、执行的文件（要小心这种情况），我们

可以使用f i n d命令的- p e r m 选项。在八进制数字前面要加一个横杠 -。在下面的命令中 - p e r m 代

表按照文件权限查找，而‘ 0 0 7 ’和你在c h m o d 命令的绝对模式中所采用的表示法完全相同。

$ find . -perm -007 -print

2.1.3 忽略某个目录

如果在查找文件时希望忽略某个目录，因为你知道那个目录中没有你所要查找的文件，

那么可以使用- p r u n e 选项来指出需要忽略的目录。在使用 - p r u n e选项时要当心，因为如果你同

时使用了- d e p t h选项，那么- p r u n e选项就会被f i n d 命令忽略。

如果希望在/ a p p s目录下查找文件，但不希望在 / a p p s / b i n目录下查找，可以用：

$ find /apps -name "/apps/bin" -prune -o -print

2.1.4 使用user和nouser选项

如果希望按照文件属主查找文件，可以给出相应的用户名。例如，在 $ H O M E 目录中查找

文件属主为d a v e 的文件，可以用：

$ find ~ -user dave -print

在/ e t c目录下查找文件属主为u u c p的文件：

$ find /etc -user uucp -print

为了查找属主帐户已经被删除的文件，可以使用 - n o u s e r 选项。这样就能够找到那些属主

在/ e t c / p a s s w d 文件中没有有效帐户的文件。在使用 - n o u s e r选项时，不必给出用户名； f i n d命令

能够为你完成相应的工作。例如，希望在 / h o m e 目录下查找所有的这类文件，可以用：

$ find /home -nouser -print

2.1.5 使用group和nogroup选项

就像u s e r 和n o u s e r 选项一样，针对文件所属于的用户组， f i n d 命令也具有同样的选项，为

了在/ a p p s目录下查找属于a c c t s 用户组的文件，可以用：

$ find /apps -group accts -print

要查找没有有效所属用户组的所有文件，可以使用 n o g r o u p 选项。下面的f i n d命令从文件

系统的根目录处查找这样的文件

$ fine/-nogroup-print

16 第一部分 shell

下载

2.1.6 按照更改时间查找文件

如果希望按照更改时间来查找文件，可以使用 m t i m e 选项。如果系统突然没有可用空间了，

很有可能某一个文件的长度在此期间增长迅速，这时就可以用 m t i m e 选项来查找这样的文件。

用减号-来限定更改时间在距今 n日以内的文件，而用加号 +来限定更改时间在距今 n日以前的

文件。

希望在系统根目录下查找更改时间在 5日以内的文件，可以用：

$ find / -mtime -5 -print

为了在/ v a r / a d m 目录下查找更改时间在 3日以前的文件，可以用：

$ find /var/adm -mtime +3 -print

2.1.7 查找比某个文件新或旧的文件

如果希望查找更改时间比某个文件新但比另一个文件旧的所有文件，可以使用 - n e w e r 选

项。它的一般形式为：

newest_file_name ! oldest_file_name

其中，！是逻辑非符号。

这里有两个文件，它们的更改时间大约相差两天。

下面给出的f i n d 命令能够查找更改时间比文件 a g e . a w k 新但比文件b e l t s . a w k旧的文件：

如果想使用f i n d命令的这一选项来查找更改时间在两个小时以内的文件，除非有一个现成

的文件其更改时间恰好在两个小时以前，否则就没有可用来比较更改时间的文件。为了解决

这一问题，可以首先创建一个文件并将其日期和时间戳设置为所需要的时间。这可以用 t o u c h

命令来实现。

假设现在的时间是 2 3 : 4 0 ，希望查找更改时间在两个小时以内的文件，可以首先创建这样

一个文件：

一个符合要求的文件已经被创建；这里我们假设今天是五月四日，而该文件的更改时间

是2 1 : 4 0 ，比现在刚好早两个小时。

现在我们就可以使用f i n d 命令的- n e w e r选项在当前目录下查找所有更改时间在两个小时以

内的文件：

$ find . -newer dstamp -print

2.1.8 使用type选项

U N I X或L I N U X 系统中有若干种不同的文件类型，这部分内容我们在前面的章节已经做了

第2章使用f i n d和x a rg s 17

下载

介绍，这里就不再赘述。如果要在 / e t c目录下查找所有的目录，可以用：

$ find /etc -type d -print

为了在当前目录下查找除目录以外的所有类型的文件，可以用：

$ find . ! -type d -print

为了在/ e t c目录下查找所有的符号链接文件，可以用：

$ find /etc -type l -print

2.1.9 使用size选项

可以按照文件长度来查找文件，这里所指的文件长度既可以用块（ b l o c k）来计量，也可

以用字节来计量。以字节计量文件长度的表达形式为 N c ；以块计量文件长度只用数字表示即

可。

就我个人而言，我总是使用以字节计的方式，在按照文件长度查找文件时，大多数人都

喜欢使用这种以字节表示的文件长度，而不用块的数目来表示，除非是在查看文件系统的大

小，因为这时使用块来计量更容易转换。

为了在当前目录下查找文件长度大于 1 M 字节的文件，可以用：

$ find . -size +1000000c -print

为了在/ h o m e / a p a c h e 目录下查找文件长度恰好为 1 0 0 字节的文件，可以用：

$ find /home/apache -size 100c -print

为了在当前目录下查找长度超过 1 0 块的文件（一块等于5 1 2 字节），可以用：

$ find . -size +10 -print

2.1.10 使用depth选项

在使用f i n d 命令时，可能希望先匹配所有的文件，再在子目录中查找。使用 d e p t h 选项就

可以使f i n d命令这样做。这样做的一个原因就是，当在使用 f i n d命令向磁带上备份文件系统时，

希望首先备份所有的文件，其次再备份子目录中的文件。

在下面的例子中， f i n d 命令从文件系统的根目录开始，查找一个名为 C O N . F I L E 的文件。

它将首先匹配所有的文件然后再进入子目录中查找。

$ find / -name "CON.FILE" -depth -print

2.1.11 使用mount选项

在当前的文件系统中查找文件（不进入其他文件系统），可以使用f i n d 命令的m o u n t 选项。

在下面的例子中，我们从当前目录开始查找位于本文件系统中文件名以 X C结尾的文件：

$ find . -name "*.XC" -mount -print

2.1.12 使用cpio选项

c p i o命令可以用来向磁带设备备份文件或从中恢复文件。可以使用 f i n d 命令在整个文件系

统中（更多的情况下是在部分文件系统中）查找文件，然后用 c p i o 命令将其备份到磁带上。

如果希望使用c p i o 命令备份/ e t c 、/ h o m e 和/ a p p s 目录中的文件，可以使用下面所给出的命

令，不过要记住你是在文件系统的根目录下：

18 第一部分 shell

下载

（在上面的例子中，第一行末尾的 \告诉s h e l l 命令还未结束，忽略\后面的回车。）

在上面的例子中，应当注意到路径中缺少 /。这叫作相对路径。之所以使用相对路径，是

因为在从磁带中恢复这些文件的时候，可以选择恢复文件的路径。例如，可以将这些文件先

恢复到另外一个目录中，对它们进行某些操作后，再恢复到原始目录中。如果在备份时使用

了绝对路径，例如 / e t c ，那么在恢复时，就只能恢复到 / e t c 目录中去，别无其他选择。在上面

的例子中，我告诉 f i n d 命令首先进入/ e t c 目录，然后是 / h o m e 和/ a p p s目录，先匹配这些目录下

的文件，然后再匹配其子目录中的文件，所有这些结果将通过管道传递给 c p i o 命令进行备份。

顺便说一下，在上面的例子中 c p i o命令使用了C 6 5 5 3 6 选项，我本可以使用 B选项，不过这

样每块的大小只有 5 1 2 字节，而使用了 C 6 5 5 3 6 选项后，块的大小变成了 6 4 K 字节

（6 5 5 3 6 / 1 0 2 4）。

2.1.13 使用exec或ok来执行shell命令

当匹配到一些文件以后，可能希望对其进行某些操作，这时就可以使用 - e x e c 选项。一旦

f i n d 命令匹配到了相应的文件，就可以用 - e x e c选项中的命令对其进行操作（在有些操作系统

中只允许- e x e c 选项执行诸如 l s或ls -l这样的命令）。大多数用户使用这一选项是为了查找旧文

件并删除它们。这里我强烈地建议你在真正执行 r m 命令删除文件之前，最好先用 l s 命令看一

下，确认它们是所要删除的文件。

e x e c 选项后面跟随着所要执行的命令，然后是一对儿 { } ，一个空格和一个 \，最后是一个

分号。

为了使用e x e c 选项，必须要同时使用 p r i n t 选项。如果验证一下f i n d命令，会发现该命令只

输出从当前路径起的相对路径及文件名。

为了用ls -l命令列出所匹配到的文件，可以把 ls -l命令放在f i n d命令的- e x e c选项中，例如：

上面的例子中，f i n d命令匹配到了当前目录下的所有普通文件，并在 - e x e c选项中使用ls -l

命令将它们列出。

为了在/ l o g s 目录中查找更改时间在 5日以前的文件并删除它们，可以用：

$ find logs -type f -mtime +5 -exec rm {} \;

记住，在s h e l l 中用任何方式删除文件之前，应当先查看相应的文件，一定要小心！

当使用诸如m v或r m 命令时，可以使用- e x e c 选项的安全模式。它将在对每个匹配到的文件

进行操作之前提示你。在下面的例子中， f i n d 命令在当前目录中查找所有文件名以 . L O G 结尾、

更改时间在5日以上的文件，并删除它们，只不过在删除之前先给出提示。

按y键删除文件，按n键不删除。

任何形式的命令都可以在 - e x e c选项中使用。在下面的例子中我们使用 g r e p命令。f i n d命令

第2章使用f i n d和x a rg s 19

下载

首先匹配所有文件名为“ p a s s w d * ”的文件，例如p a s s w d 、p a s s w d . o l d、p a s s w d . b a k，然后执

行g r e p命令看看在这些文件中是否存在一个 r o u n d e r 用户。

2.1.14 find命令的例子

我们已经介绍了f i n d 命令的基本选项，下面给出 f i n d 命令的一些其他的例子。

为了匹配$ H O M E 目录下的所有文件，下面两种方法都可以使用：

$ find $HOME -print

$ find ~ -print

为了在当前目录中查找s u i d 置位，文件属主具有读、写、执行权限，并且文件所属组的用

户和其他用户具有读和执行的权限的文件，可以用：

$ find . -type f -perm 4755 -print

为了查找系统中所有文件长度为 0的普通文件，并列出它们的完整路径，可以用：

$ find / -type f -size 0 -exec ls -l {} \;

为了查找/ v a r / l o g s 目录中更改时间在7日以前的普通文件，并删除它们，可以用：

$ find /var/logs -type f -mtime +7 -exec rm {} \;

为了查找系统中所有属于a u d i t 组的文件，可以用：

$find /-name -group audit -print

我们的一个审计系统每天创建一个审计日志文件。日志文件名的最后含有数字，这样我

们一眼就可以看出哪个文件是最新的，哪个是最旧的。 A d m i n . l o g 文件编上了序号：

a d m i n . l o g . 0 0 1 、a d m i n . l o g . 0 0 2 等等。下面的 f i n d命令将删除 / l o g s目录中访问时间在 7日以前、

含有数字后缀的a d m i n . l o g 文件。该命令只检查三位数字，所以相应日志文件的后缀不要超过

9 9 9 。

$ find /logs -name 'admin.log[0-9][0-9][0-9]

-atime +7 -exec rm {} \;

为了查找当前文件系统中的所有目录并排序，可以用：

$ find . -type d -print -local -mount |sort

为了查找系统中所有的r m t磁带设备，可以用：

$ find /dev/rmt -print

2.2 xargs

在使用f i n d命令的- e x e c选项处理匹配到的文件时， f i n d 命令将所有匹配到的文件一起传递

给e x e c 执行。不幸的是，有些系统对能够传递给 e x e c 的命令长度有限制，这样在 f i n d 命令运行

几分钟之后，就会出现溢出错误。错误信息通常是“参数列太长”或“参数列溢出”。这就是

x a rg s 命令的用处所在，特别是与 f i n d 命令一起使用。 F i n d 命令把匹配到的文件传递给 x a rg s命

令，而x a rg s命令每次只获取一部分文件而不是全部，不像 - e x e c 选项那样。这样它可以先处理

最先获取的一部分文件，然后是下一批，并如此继续下去。在有些系统中，使用 - e x e c 选项会

为处理每一个匹配到的文件而发起一个相应的进程，并非将匹配到的文件全部作为参数一次

执行；这样在有些情况下就会出现进程过多，系统性能下降的问题，因而效率不高；而使用

20 第一部分 shell

下载

剩余355页未读，继续阅读

xyz123360

粉丝: 0
资源: 2

文件安全与权限：Shell编程中的文件控制

30+个视频+shell脚本视频教程

shell脚本编程100例

Shell编程实战.zip

shell编程入门pdf

doc 命令编程 shell 编程

操作系统shell编程

linux 与unix shell 编程指南

windows shell 编程 pdf

linux操作系统shell编程

快速学会 shell 编程

最新资源