⚡ Linux find 命令参数详解

发布于:2025-08-31 ⋅ 阅读:(23) ⋅ 点赞:(0)

📘 1. find 简介

find 是 Linux/Unix 系统中用于在目录树中搜索文件的强大工具。可以按文件名、类型、权限、大小、时间等多种条件查找文件,也可以在找到文件后执行操作,如打印、删除、添加到版本控制等。

⚙️ 2. find 用法

🔨 2.1 基础用法

find [基础参数] [搜索起点] [参数选项]

说明:

  • [基础参数]:这里指的是5个基础参数,必须放在路径前面。

  • [搜索起点]:指定要搜索的目录,可以是相对路径或绝对路径 。

  • [参数选项]:条件测试、逻辑操作和动作,find 命令的核心内容。

⚖️ 2.2 xargs用法

find [基础参数] [搜索起点] [参数选项] | xargs [命令参数]

说明:

  • [命令参数]:这里的命令参数指的是 xargs 需要对找到的目标进行的操作

📦 2.3 默认用法

当 find 不添加任何参数单独执行的时候相当于以下命令

find -P . -print

即递归打印当前目录下的所有文件

🛠️ 3. find 参数

find 命令中出现的参数可分为6种

  • 基础参数:用于控制 find 命令本身的遍历方式或解析路径方式的参数。

  • 检测类参数:用于检测文件是否满足条件的参数 。

  • 操作类参数:用于对搜索到的文件进行进一步操作的参数。

  • 逻辑类参数:用于组合多个检测逻辑或操作逻辑的参数。

  • 全局类参数:用于改变 find 命令整体行为的参数 。

  • 局部类参数:用于改变部分检测或操作行为的参数。

还有一类参数虽然不在 find 命令中出现,但是会影响到 find 行为,需要在执行 find 命令前通过 export 设置。

  • 环境变量参数:会影响到 find 行为的环境变量

🕋 3.1 基础参数

  • -P: 不添加基础参数的时候,find 的默认选项,即遍历目录时不跟随符号链接。
  • -L:遍历目录时跟随符号链接。效果:

解释:这里 find 遍历了 apk 符号链接所指向的目录,打印了目录内所有文件的文件名

⚠️ 注意:-L 参数只跟随目录的符号链接,即进入符号链接指向的目录并遍历目录中的内容。普通文件的符号链接不跟随,按照原样打印文件的名字。(效果图中 -L 参数没有打印符号链接 led 指向的 led.bin)

  • -H:遍历目录时若搜索起点直接是符号链接,则追踪它;否则像 -P 一样处理。效果:

解释:这里 . 表示当前目录,不是符号链接,当作搜索起点传给 find -H 不跟随;apk 是符号链接,当作搜索起点传给 find -H 就进行了跟随遍历。

⚠️ 注意:这里 -H 也是只跟随目录的符号链接,而不跟随普通文件的符号链接。

  • -D: find 的调试参数,用它可以查看 find 内部处理过程。先通过 find -D help 查看用法提示,然后根据提示输入参数。专门给源码狗准备的,效果:

  • -Olevel: 根据level优化搜索顺序,一般level=0-1用于小目录或简单搜索,level=2用于中型目录,level=3用于大型目录或复杂搜索。 

🔎 3.2 检测类参数

  • -atime n: 搜索最后访问时间在 n 天前,但是在 n+1 天内的文件;如果 -atime 后面跟的是 +n ,就表示搜索最后访问时间在 n 天内的文件;如果 -atime 后面跟的是 -n ,就表示搜索最后访问时间在 n 天前的文件。这里官方给的解释很晦涩,只要记住最常用的 -atime 0 表示搜索在1天内访问过的文件就行了。
  • -ctime n: 搜索状态修改时间在 n 天前,但是在 n+1 天内的文件,+n 和 -n 的逻辑和 -atime 一致。
  • -mtime n: 搜索最后修改时间在 n 天前,但是在 n+1 天内的文件,+n 和 -n 的逻辑和 -atime 一致。效果:

解释:-mtime 0 参数只显示在24小时内修改过的文件

  • -anewer filename: 搜索最后访问时间比 filename 更迟(更新)的文件
  • -cnewer filename: 搜索状态修改时间比 filename 更迟(更新)的文件
  • -newer filename: 搜索最后修改时间比 filename 更迟(更新)的文件,效果:

解释:当前目录下只有 apk 的修改时间比 led 更迟,所以 find 只打印 apk

  • -type filetype: 搜索文件类型为 filetype 的文件,filetype 可以为 f(普通文件)、d(目录文件)、l(符号链接文件)、c(字符设备文件)、b(块设备文件)、P(有名管道文件)、s(套接字文件)中的任意一种。效果:

解释:这里由于添加了 -type d 参数,所以 find 只打印了当前目录下的目录文件(即使是隐藏文件也会打印)

  • -perm mode: 搜索文件权限符合指定 mode 的文件。效果:

解释:这里搜索权限为777(mode = 777)的文件,当前目录下就只有两个符号链接文件满足,所以打印两个符号链接文件

  • -uid n: 搜索属主的用户 ID(UID)为 n 的文件。
  • -gid n: 搜索属主的组 ID(GID)为 n 的文件。
  • -user username: 搜索属主用户名为 username 的文件,相当于 -uid 的更直观形式。效果:

解释:这里搜索所属者为 root 的文件,当前目录下没有,所以什么也不打印

  • -group groupname: 搜索属组名为 groupname 的文件,相当于 -gid 的更直观形式。
  • -size n: 搜索文件大小为 n 的文件。如果 -size 后面跟的是 +n 表示搜索文件大小大于 n 的文件;如果 -size 后面跟的是 -n 表示搜索文件大小小于 n 的文件。n 后面可以带单位:c(字节),k(KB),M(MB),G(GB)。效果:

解释:这里搜索文件大小大于10KB的文件,当前目录下只有 hello 满足条件,所以只打印 hello 

  • -empty:搜索空文件或者空目录。
  • -links n:搜索硬链接数为 n 的文件。如果 -links 后面跟的是 +n 表示搜索硬连接数大于 n 的文件;如果 -links 后面跟的是 -n 表示搜索硬连接数小于 n 的文件。
  • -samefile filename:搜索和指定文件 filename 指向同一个 inode 的文件。基本上只能用来识别指向同一个inode的硬链接文件。
  • -name pattern: 搜索文件名符合 pattern 通配符匹配规则(大小写敏感)的文件。效果:

解释:这里搜索 .c 后缀的文件,当前目录下只有 hello.c 满足条件,所以只打印 hello.c 。

⚠️ 注意:pattern 通配符最好用”“包裹,否则容易报错。

  • -iname:搜索文件名符合 pattern 通配符匹配规则(大小写不敏感)的文件。
  • -path pattern: 搜索完整路径符合通配符匹配规则的文件。效果:

解释:这里搜索路径满足 ./h* 统配符的文件。当前目录下只有 hello 和 hello.c 满足,所以只打印 hello 和 hello.c 

  • -regex pattern: 搜索完整路径符合正则表达式匹配规则的文件。和 -path 的区别是,这里可以用更复杂的正则语法。效果:

解释:这里搜索满足 ERE 正则表达式 ./[a-o]+ 的文件。当前目录下只有 led 和 hello 满足,所以只打印 led 和 hello

 ⚠️ 注意: find 命令的 -regex 参数默认只用的正则表达式为 Emacs 正则表达式,需要配合 -regextype 参数改成我们熟悉的 ERE 或 BRE 正则表达式。

  • -fstype typename:搜索属于某种文件系统类型的文件。效果:

解释:一般 Linux 系统下的文件都是属于 ext4 文件系统的,除非你用了特殊的文件系统做 Linux 或者挂载了 nfs 之类的网络文件系统,才会用到 -fstype 参数。

⚓️ 3.3 操作类参数

  • -print: 打印文件名,用换行符作为分隔符。是 find 命令的默认操作类参数,即如果不添加任何操作类参数,find 会自动帮你补上 -print。
  • -print0: 打印文件名,用 \0 作为分隔符。常用于和 xargs -0 搭配,防止文件名里有空格或换行导致解析错误,效果:

解释:效果大致就是这样的,说是\0在终端里不会显示,所以看不到。

  • -printf format: 按指定格式 format 输出结果,常见格式有 %p(路径)、%f(文件名)、%s(文件大小)。效果:

解释:这里输出格式中只打印了文件路径和文件大小,其他还有很多不常用的 format 格式,按需要添加,这里不一一列举

  • -fprint filename: 将搜索结果写入 filename 文件,而不是打印到标准输出,用换行做分隔符。
  • -fprint0 filename: 将搜索结果写入 filename 文件,而不是打印到标准输出,用 /0 做分隔符
  • -fprintf filename formant: 将搜索结果按照指定格式 format 写入 filename 文件,而不是打印到标准输出。
  • -ls: 将搜索到的结果以 ls -dils 的格式输出,显示文件的详细信息(包括 inode 、权限、大小、最后修改时间)。效果:

解释:ls -dils中的-dils表示:

        -d: 显示目录本身而不是目录里的内容

        -i: 显示文件的 inode 编号

        -l: 按照 ls 的长格式显示详细信息

        -s: 显示文件占用的磁盘块数

  • -delete: 删除匹配到的文件。在删除过程中他会先删除子目录再删除父目录。
  • -exec command {} \; : 对每个匹配的文件执行一次 command 。{} 会被替换为当前文件名,\;表示命令结束。效果:

解释:这里将搜索到的文件用 cat -n 命令打印内容并显示行数

⚠️ 注意:这里的command只适合简单命令,碰到复杂命令比如带重定向的或者带管道符号的命令建议用xargs。

  • -exec command {} + : 用法和 -exec command {} \; 类似,但是效率比 -exec command {} \; 高。需要执行命令的目标文件较多时用这个命令。
  • -execdir command {} \; :用法和 -exec command {} \; 类似,但是比 -exec command {} \; 更安全。可以防止文件名注入攻击和  TOCTOU攻击

解释:

文件名注入攻击,即使构建名为 "; rm -rf /" 或者 ";cat /etc/passwd" 的文件,放到搜索目录下,find 找到该文件在执行 -exec command {} \;的时候就会理解成2条命令从而误删文件或者泄漏密码。

TOCTOU (Time-of-Check to Time-of-Use) 攻击,即利用检查文件和使用文件的时间差进行的攻击,比如在 find 找到软连接 xxx 以后,再跳转到软连接所指向的目录之前,再这段时间内替换掉软连接让其指向攻击者指定的目录,这样 find 就会跳转到攻击者指定的目录执行 -exec command {} \;

  • -execdir command {} + : 用法和 -exec command {} + 类似,但是比 -exec command {} + 更安全。可以防止文件名注入攻击和 TOCTOU 攻击
  • -ok command {} \; : 用法和 -exec command {} \; 类似,但是会在每次执行命令前要求用户确认。 
  • -okdir command {} \; : 用法和 -execdir command {} \; 类似,但是会在每次执行命令前要求用户确认。
  • -prune: 如果匹配到的文件时目录,则不进入该目录,常和 -path 和 -o 配合使用,用于排除目录。效果:

解释:这里利用 -path "./.vscode" -prune -o 排除了隐藏目录 .vscode,同时利用 -name "*.c" 匹配到了 hello.c 文件。-prune 的用法还有很多,但推荐就记这一种,不然容易乱。

  • -quit: 在搜索过程中一旦找到一个匹配结果立即退出,不再继续搜索。效果:

解释:这里有两个文件满足条件,但是由于加了 -quit 参数所以在匹配到第一个的时候就退出了,第二个文件 hello.c 没有打印到终端上。

⛲️ 3.4 逻辑类参数

  • -not: 逻辑非,表示匹配不满足要求的文件。效果:

解释:这里利用 -not 匹配了当前目录下文件名中不含 hello 的文件

  • -and: 逻辑与,匹配同时满足多个要求的文件,效果:

解释: 这里利用 -and 匹配了文件名中含有 hello 并且文件大小大于10KB的文件。命令中通过转义的括号将 -and 包裹防止逻辑类参数的优先级问题。

⚠️ 注意:这里有逻辑短路,如果前面的条件不成立那么 find 不会继续匹配后面条件

  • -or: 逻辑或,匹配至少满足其中一个要求的文件,效果:

解释:这里利用 -or 匹配了文件大小大于10KB的或者修改时间在24小时内的文件。命令中通过转义的括号将 -or 包裹防止逻辑类参数的优先级问题。

⚠️ 注意:这里有逻辑短路,如果前面的条件成立那么 find 不会继续匹配后面条件

  • ,: 按照顺序执行多个表达式,并丢弃第一个表达式的结果,效果:

解释:这里可以明显看到,最后的结果只显示了 -type l 参数匹配到的文件,而丢弃了 -name "hello*" 参数匹配到的文件。

🌐 3.5 全局类参数

  • -maxdepth n: 限制搜索的最大递归深度,最多只搜索到第 n 层子目录,效果:

解释:图中展示了最大递归深度为0、1、2时的状况

  • -mindepth n: 限制搜索的最小递归深度,最少需要搜索到第 n 层子目录,常配合 -maxdepth n 来显示搜索递归深度范围。
  • -mount: 用于限定搜索的范围,使得 find 命令只搜索当前目录所在的文件系统,不搜索其他文件系统。
  • -ignore_readdir_race: 防止搜索的时候文件被删除导致目录不一致而报错。常和 -delete 参数配合使用。
  • -noleaf: 取消硬连接数优化,在非 Linux 文件系统(比如 windows 的 exFAT )下使用 find 命令时需要添加这个参数

 📍 3.6 局部类参数

  • -daystart: 将 -atime n、-ctime n、-mtime n 的计算时间标准从 n 个24小时改为 n 天前的00:00 。效果:

解释:这里 1.txt 在24小时内修改,但是今天没动过,所以加了 -daystart 以后没有匹配到

  • -regextype type: 将 find 用于匹配的正则表达式类型改成 type 类型,type 为 posix-basic 表示 BRE;type 为 posix-extended 表示 ERE。不加这个默认是 Emacs。
  • -warn: 开启 find 命令的警告信息
  • -nowarn: 关闭 find 命令的警告信息

🌏 3.7 环境变量参数

  • PATH: 该环境变量会影响 -exec command {} \;、 -execdir command {} \; 执行命令的查找路径,简单来说如果 PATH 的路径里没有 command 的可执行文件,-exec command {} \; 的时候就会报错。
  • LANG: 该环境变量会影响 find 处理中文或特殊字符文件名时的行为,如果文件命中有中文或特殊字符需要提前设置该变量,比如
export LANG=zh_CN.UTF-8

⚠️ 4. 注意事项

🧩 4.1 逻辑操作优先级问题

find 命令的逻辑类参数优先级较低,必须用转义的括号将逻辑包裹起来,否则会出现各种令人困惑的奇怪现象

🔤 4.2 文件名通配符展开问题

find 命令中用到的通配符需要加引号,否则被 shell 提前展开,进而导致无法预期的现象

🛡️ 4.3 执行命令安全问题

find 的 man 手册中明确指出了所有 find 可能包含的安全问题,包括文件名注入攻击和TOCTOU攻击,同时也指出即使是用了 -execdir command {} \; 也不能保证100%的安全,如果需要100% 的安全,推荐使用 -okdir command {} \; 参数。

解释:一般人这辈子都不一定会碰到黑客攻击,看个热闹就行了。

🔄 4.4 符号链接循环问题

find 命令在检测到符号链接循环的时候会报错,所以要确保你在跟随链接搜索的时候,搜索的目录中没有指向父目录的符号链接

📌 4.5 POSIX 与 GNU 区别

需要注意 find 的运行环境,本文中介绍的 find 为 GNU 的 find,如果是 POSIX 的 find 可能有些参数会不支持。

解释:一般主流Linux系统都是GNU,只有Android或BusyBox裁剪过的系统是POSIX

📕 5. 参考资料

find 命令官方 man 手册(POSIX / GNU):
https://man7.org/linux/man-pages/man1/find.1.html

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布