文件分析

查找

找出/opt下一天前访问过的文件

$ find /opt -iname "*" -atime 1 -type f

查找一天内被修改的jsp文件：

$ find ./ -mtime 0 -name "*.jsp"

查看72小时内新增的文件：

$ find / -ctime -2

查看777权限的文件：

$ findd / *.jsp -perm 4777

查看更改时间：

$ stat  [文件]

RPM check检查

$ rpm -Va > rpm.log
验证内容中的8个信息的具体内容如下：
        S         文件大小是否改变
        M         文件的类型或文件的权限（rwx）是否被改变
        5         文件MD5校验是否改变（可以看成文件内容是否改变）
        D         设备中，从代码是否改变
        L         文件路径是否改变
        U         文件的属主（所有者）是否改变
        G         文件的属组是否改变
        T         文件的修改时间是否改变

如果命令被替换，还原：

# 查询ls命令属于哪个软件包
$ rpm  -qf /bin/ls 
# 先把ls转移到tmp目录下，造成ls命令丢失的假象 
$ mv /bin/ls /tmp
# 提取rpm包中ls命令到当前目录的/bin/ls下 
$ rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 
# 把ls命令复制到/bin/目录 修复文件丢失
$ cp /root/bin/ls  /bin/

查看文件创建修改时间、访问时间

$ ls -alt /bin/* | head -n 5
$ stat /usr/bin/lsof

文件权限ACL

获取文件权限：

$ getfacl 1.cap

添加文件权限setfacl。