文件分析

查找

找出/opt下一天前访问过的文件

$ find /opt -iname "*" -atime 1 -type f

查找一天内被修改的jsp文件:

$ find ./ -mtime 0 -name "*.jsp"

查看72小时内新增的文件:

$ find / -ctime -2

查看777权限的文件:

$ findd / *.jsp -perm 4777

查看更改时间:

$ stat  [文件]

RPM check检查

$ rpm -Va > rpm.log
验证内容中的8个信息的具体内容如下:
        S         文件大小是否改变
        M         文件的类型或文件的权限(rwx)是否被改变
        5         文件MD5校验是否改变(可以看成文件内容是否改变)
        D         设备中,从代码是否改变
        L         文件路径是否改变
        U         文件的属主(所有者)是否改变
        G         文件的属组是否改变
        T         文件的修改时间是否改变

如果命令被替换,还原:

# 查询ls命令属于哪个软件包
$ rpm  -qf /bin/ls 
# 先把ls转移到tmp目录下,造成ls命令丢失的假象 
$ mv /bin/ls /tmp
# 提取rpm包中ls命令到当前目录的/bin/ls下 
$ rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 
# 把ls命令复制到/bin/目录 修复文件丢失
$ cp /root/bin/ls  /bin/

查看文件创建修改时间、访问时间

$ ls -alt /bin/* | head -n 5
$ stat /usr/bin/lsof

文件权限ACL

获取文件权限:

$ getfacl 1.cap

添加文件权限setfacl

Previous服务Next日志分析

Last updated