前言

find 命令是我們日常工作中比較常用的Linux命令。全面的掌握這個命令可以使很多操作達到事半功倍的效果。如果對find命令有以下這些疑惑，本文都能幫你解決：

find命令的格式是什么？

參數中出現+或-號是什么意思？比如find / -mtime +7與find / -mtime -7什么區別？

find /etc/ -name “passwd” -exec echo {} ;和find /etc/ -name “passwd” -exec echo {} +有啥區別？

-exec參數為什么要以“;”結尾，而不是只寫“;”？

命令基礎

find命令大家都比較熟悉，反倒想講的有特色比較困難。那干脆我們怎么平淡怎么來好了。我們一般用的find命令格式很簡單，一般分成三個部分：

find /etc -name 'passwd'

格式如上，第一段find命令。第二段，要搜索的路徑。這一段目錄可以寫多個，如：

find /etc /var /usr -name 'passwd'

第三段，表達式。我們例子中用的是-name “passwd”這個表達式，指定條件為找到文件名是passwd的文件。對于find命令，最需要學習的是表達式這一段。表達式決定了我們要找的文件是什么屬性的文件，還可以指定一些“動作”，比如將匹配某種條件的文件刪除。所以，find命令的核心就是表達式（EXPRESSION）的指定方法。

?

find命令中的表達式有四種類型，分別是：

Tests：就是我們最常用的指定查找文件的條件。

Actions：對找到的文件可以做的操作。

Global options：全局屬性用來限制一些查找的條件，比如常見的目錄層次深度的限制。

Positional options：位置屬性用來指定一些查找的位置條件。

這其中最重要的就是Tests和Actions，他們是find命令的核心。另外還有可以將多個表達式連接起來的操作符，他們可以表達多個表達式之間的邏輯關系和運算優先順序，叫做Operators。 下面我們就來分類看一下這些個分類的功能。

TESTS

find命令是通過文件屬性查找文件的。所以，find表達式的tests都是文件的屬性條件，比如文件的各種時間，文件權限等。很多參數中會出現指定一個數字n，一般會出現三種寫法：

+n：表示大于n。

-n：表示小于n。

n：表示等于n。

根據時間查找

比較常用數字方式來指定的參數是針對時間的查找，比如-mtime n：查找文件修改時間，單位是天，就是n*24小時。舉個例子說：

[root@zorrozou-pc0 zorro]# find / -mtime 7 -ls

我們為了方便看到結果，在這個命令中使用了-ls參數，具體細節后面會詳細解釋。再此我們只需要知道這個參數可以將符合條件的文件的相關屬性顯示出來即可。那么我們就可以通過這個命令看到查找到的文件的修改時間了。

[root@zorrozou-pc0 zorro]# find / -mtime 7 -ls|head
   524295      4 drwxr-xr-x  12  root     root         4096 6月  8 13:43 /root/.config
   524423      4 drwxr-xr-x   2  root     root         4096 6月  8 13:43 /root/.config/yelp
   524299      4 drwxr-xr-x   2  root     root         4096 6月  8 13:23 /root/.config/dconf
   524427      4 -rw-r--r--   1  root     root         3040 6月  8 13:23 /root/.config/dconf/user
...

?

我們會發現，時間都集中在6月8號，而今天是：

?

[root@zorrozou-pc0 zorro]# date
2016年 06月 15日 星期三 1409 CST

實際上，當我們在mtime后面指定的是7的時候，實際上是找到了距離現在7個24小時之前修改過的文件。如果我們在考究一下細節的話，可以使用這個命令再將找到的文件用時間排下順序：

[root@zorrozou-pc0 zorro]# find / -mtime 7 -exec ls -tld {} +

此命令用到了exec參數，后面會詳細說明。我們會發現，找到的文件實際上是集中在6月7日的14:30到6月8日的14:30這個范圍內的。就是說，實際上，指定7天的意思是說，找到文件修改時間范圍屬于距離當前時間7個24小時到8個24小時之間的文件，這是不加任何+-符號的7的含義。如果是-mtime -7呢？

[root@zorrozou-pc0 zorro]# find / -mtime -7 -exec ls -tld {} +

你會發現找到的文件是從現在開始到7個24小時范圍內的文件。但是不包括7個24小時到8個24小時的時間范圍。那么-mtime +7也應該好理解了。這就是find指定時間的含義。類似的參數還有： -ctime：以天為單位通過change time查找文件。 -atime：以天為單位通過access time查找文件。 -mmin：以分鐘為單位通過modify time查找文件。 -amin：以分鐘為單位通過access time查找文件。 -cmin：以分鐘單位通過change time查找文件。 這些參數都是指定一個時間數字n，數字的意義跟mtime完全一樣，只是時間的單位和查找的時間不一樣。 除了指定時間以外，find還可以通過對比某一個文件的相關時間找到符合條件的文件，比如-anewer file。

[root@zorrozou-pc0 zorro]# find /etc -anewer /etc/passwd

這樣可以在/etc/目錄下找到文件的access time比/etc/passwd的access time更新的所有文件。類似的參數還有： -cnewer：比較文件的change time。 -newer：比較文件的modify time。 -newer還有一種特殊用法，可以用來做各種時間之間的比較。比如，我想找到文件修改時間比/etc/passwd文件的change time更新的文件：

[root@zorrozou-pc0 zorro]# find /etc/ -newermc /etc/passwd

這個用法的原型是：find /etc/ -newerXY file。其中Y表示的是跟后面file的什么時間比較，而X表示使用查找文件什么時間進行比較。-newermc就是拿文件的modify time時間跟file的change time進行比較。X和Y可以使用的字母為： a：文件access time。
c：文件change time。
m：文件modify time。 在某些支持記錄文件的創建時間的文件系統上，可以使用B來表示文件創建時間。ext系列文件系統并不支持記錄這個時間。

?

根據用戶查找

-uid n：文件的所屬用戶uid為n。

-user name：文件的所屬用戶為name。

-gid n：文件的所屬組gid為n。

-group name：所屬組為name的文件。

-nogroup：沒有所屬組的文件。

-nouser：沒有所屬用戶的文件。

根據權限查找

-executable：文件可執行。 -readable：文件可讀。 -writable：文件可寫。 -perm mode：查找權限為mode的文件，mode的寫法可以是數字，也可以是ugo=rwx的方式如：

[root@zorrozou-pc0 zorro]# find /etc/ -perm 644 -ls

?

這個寫法跟：

?

[root@zorrozou-pc0 zorro]# find /etc/ -perm u=rw,g=r,o=r -ls

?

是等效的。

另外要注意，mode指定的是完全符合這個權限的文件，如：

?

[root@zorrozou-pc0 zorro]# find /etc/ -perm u=rw,g=r -ls
   263562      4 -rw-r-----   1  root     brlapi         33 11月 13  2015 /etc/brlapi.key

沒描述的權限就相當于指定了沒有這個權限。 mode還可以使用/或-作為前綴進行描述。如果指定了-mode，就表示沒指定的權限是忽略的，就是說，權限中只要包涵相關權限即可。如：

[root@zorrozou-pc0 zorro]# find /etc/ -perm 600 -ls

這是找到所有只有rw———-權限的文件，而-600就表示只要是包括了rw的其他位任意的文件。mode加/前綴表示的是，指定的權限只要某一位復合條件就可以，其他位跟-一樣忽略，就是說-perm /600還可以找到r————或者-w———-這樣權限的文件。老版本的/前綴是用+表示的，新版本的find意境不支持mode前加+前綴了。

?

根據路徑查找

-name pattern：文件名為pattern指定字符串的文件。注意如果pattern中包括*等特殊符號的時候，需要加””。

-iname：name的忽略大小寫版本。

-lname pattern：查找符號連接文件名為pattern的文件。

-ilname：lname的忽略大小寫版本。

-path pattern：根據完整路徑查找文件名為pattern的文件，如：

?

[root@zorrozou-pc0 zorro]# find /etc -path '/e*d'| head
/etc/machine-id
/etc/profile.d
/etc/vnc/xstartup.old
/etc/vnc/config.d
/etc/vnc/updateid
/etc/.updated

?

-ipath：path的忽略大小寫版本。

-regex pattern：用正則表達式匹配文件名。

-iregex：regex的忽略大小寫版本。

其他狀態查找

-empty：文件為空而且是一個普通文件或者目錄。

-size n[cwbkMG]：指定文件長度查找文件。單位選擇位：

c：字節單位。

b：塊為單位，塊大小為512字節，這個是默認單位。

w：以words為單位，words表示兩個字節。

k：以1024字節為單位。

M：以1048576字節為單位。

G：以1073741824字節溫單位。

n的數字指定也可以使用+-號作為前綴。意義跟時間類似，表示找到小于(-)指定長度的文件或者大于(+)指定長度的文件。

-inum：根據文件的inode編號查找。

-links n：根據文件連接數查找。

-samefile name：找到跟name指定的文件完全一樣的文件，就是說兩個文件是硬連接關系。

-type c：以文件類型查找文件：

c可以選擇的類型為：

b：塊設備

c：字符設備

d：目錄

p：命名管道

f：普通文件

l：符號連接

s：socket

ACTIONS

表達式中的actions類型參數主要是用來對找到的文件進行操作的參數。在上面的例子中，我們已經看到可以使用-ls參數對找到的文件進行長格式顯示，這就是一個actions類型的參數。類似的參數還有。

-fls file：跟-ls功能一樣，區別是將信息寫入file指定的文件，而不是顯示在屏幕上。

-print：將找到的文件顯示在屏幕上，實際上默認find命令就會將文件打印出來顯示。

-print0：-print參數會將每個文件用換行分割，而這個參數適用null分割。有時候在腳本編程時可能會用上。

-fprint file：-print參數的寫入文件版本。將內容寫到文件中，而不是顯示在屏幕上。

-fprint0 file：-print0的寫入文件版本。

-delete：可以將找到的文件直接刪除。

-printf：格式化輸出方式打印。如：

?

[root@zorrozou-pc0 zorro]# find /etc/ -name 'pass*' -printf '%p '
/etc/default/passwd /etc/pam.d/passwd /etc/passwd- /etc/passwd

?

顯示文件名，并以空格分隔。%p代表文件名。其他信息可以參見man find。

-prune：如果復合條件的是一個目錄，則不進入目錄進行查找。例子：

?

[root@zorrozou-pc0 zorro]# mkdir /etc/passs
[root@zorrozou-pc0 zorro]# touch /etc/passs/passwd
[root@zorrozou-pc0 zorro]# find /etc/ -name 'pass*' -prune
/etc/passs
/etc/default/passwd
/etc/pam.d/passwd
/etc/passwd-
/etc/passwd
[root@zorrozou-pc0 zorro]# find /etc/ -name 'pass*'
/etc/passs
/etc/passs/passwd
/etc/default/passwd
/etc/pam.d/passwd
/etc/passwd-
/etc/passwd

我們先創建了一個/etc/passs的目錄，然后在這個目錄下創建了一個叫passwd的文件。之后先用帶-prune的find看到，能顯示出passs目錄，但是目錄中的passwd文件并沒有顯示，說明這個參數讓find命令沒有進入這個目錄查找。而后一個不帶-prune參數的find顯示出了passs目錄下的passwd。

?

-quit：找到符合條件的文件后立即退出。

find中執行命令

-exec

find命令的exec是一個非常好用的參數，當然其可能造成的破壞也可能非常大。在學習它之前，我先要提醒大家，使用之前千萬要確定自己在做什么。

這個參數的常見格式是：

?

-exec command ;

注意后面的分號。它是用來給find做標記用的。find在解析命令的時候，要區分給定的參數是要傳給自己的還是要傳給command命令的。所以find以分號作為要執行命令所有參數的結束標記。命令返回值為0則返回true。在exec參數指定的執行命令中，可以使用{}符號表示當前find找到的文件名。比如：

[root@zorrozou-pc0 find]# find /etc/ -name 'passwd' -exec echo {} ;
/etc/default/passwd
/etc/pam.d/passwd
/etc/passwd

?

上面的命令表示，找到/etc/目錄下文件名為passwd的文件，并echo其文件名。注意再使用分號的時候前面要加轉移字符，因為分號也是bash的特殊字符，所以bash會先解釋它。前面加上就可以讓bash直接將其船體給find命令，這個分號由find解釋，而不是bash。其實這個exec用的比較廢話，畢竟find本身就會找到相關條件的文件并顯示其文件名。但是試想如果我們將echo換成rm或者cp，是不是就有意義的多？比如：

?

[root@zorrozou-pc0 find]# find /etc/ -name 'passwd' -exec rm {} ;

?

請不要執行這個命令！！

或者：

?

[root@zorrozou-pc0 find]# find /etc/ -name 'passwd' -exec cp {} {}.bak ;

?

這個命令可以將符合條件的文件都加個.bak后綴備份一份。于是我們可以執行刪除了：

?

[root@zorrozou-pc0 find]# find /etc/ -name 'passwd.bak' 
/etc/default/passwd.bak
/etc/pam.d/passwd.bak
/etc/passwd.bak
[root@zorrozou-pc0 find]# find /etc/ -name 'passwd.bak' -exec rm {} ;
[root@zorrozou-pc0 find]# find /etc/ -name 'passwd.bak'

當然，刪除前還是要確認清楚你要刪的文件一定是對的。 -execdir execdir和exec有一些差別，主要是在執行指定的命令時，那個相關命令是在那個工作目錄下執行的差別。exec是在find所指定的起始目錄，而execdir是文件所在目錄。對比一下就明白了：

[root@zorrozou-pc0 find]# find /etc/ -name 'passwd' -exec echo {} ;
/etc/default/passwd
/etc/pam.d/passwd
/etc/passwd
[root@zorrozou-pc0 find]# find /etc/ -name 'passwd' -execdir echo {} ;
./passwd
./passwd
./passwd

?

一個命令打印出來的路徑都是/etc/開頭，另一個顯示的都是當前目錄下的某某文件。

execdir的方式要比exec安全一些，因為這種執行方式避免了在解析文件名時所產生的競爭條件。

出了上述兩種比較典型的執行命令的方法以外，find還對這兩個參數提供了另一種形式的命令執行格式：

-exec command {} +

-execdir command {} +

我們還是先用例子來看一下這個格式和以分號結束的方式的差別：

?

[root@zorrozou-pc0 find]# find /etc/ -name 'passwd' -exec echo {} ;
/etc/default/passwd
/etc/pam.d/passwd
/etc/passwd
[root@zorrozou-pc0 find]# find /etc/ -name 'passwd' -exec echo {} +
/etc/default/passwd /etc/pam.d/passwd /etc/passwd

?

光這樣看可能還不是很明顯，我們可以這樣在描述一遍他們的執行過程：

?

echo /etc/default/passwd
echo /etc/pam.d/passwd
echo /etc/passwd

?

和

?

echo /etc/default/passwd /etc/pam.d/passwd /etc/passwd

其實就是說，對于command {} ;格式來說，每找到一個文件就執行一遍相關命令，而command {} +格式的意思是說，先執行find，找到所有符合條件的文件之后，將每個文件作為命令的一個參數傳給命令執行，exec指定的命令實際上只被執行了一次。這樣用的限制也是不言而喻的：{}只能出現一次。

[root@zorrozou-pc0 find]# find /etc -mtime -7 -type f -exec cp -t /tmp/back/ {} +

上面這個命令將符合條件的文件全部cp到了/tmp/back目錄中，當然如果文件有重名的情況下，會被覆蓋掉。從這個命令中我們學習一下{} +格式的使用注意事項，它不能寫成：

find /etc -mtime -7 -type f -exec cp {} /tmp/back/ +

所以只能使用-t參數改變cp命令的參數順序來指定相關的動作。 無論如何，直接使用exec和execdir是很危險的，因為他們會直接對找到的文件調用相關命令，并且沒有任何確認。所以我們不得不在進行相關操作前再三確認，以防止誤操作。當然，find命令也給了更安全的exec參數，它們就是： -ok -okdir 它們的作用跟exec和execdir一樣，區別只是在做任何操作之前，會讓用戶確認是不是ok？如：

[root@zorrozou-pc0 find]# find /etc -mtime -7 -type f -ok cp -t /tmp/back/ {} ;
< cp ... /etc/bluetooth/main.conf > ?

于是，每一次cp你都要確認是不是要這么做。只要你輸入的是y或者以y開頭的任何字符串，都是確認。其他的字符串是否認。另外，這兩個參數不支持{} +的格式。

?

OPERATORS

find的操作符（OPERATORS）實際上是用來連接多個表達式和確定其邏輯關系用的。如：

[root@zorrozou-pc0 zorro]# find /etc -name 'pass*' -type f
/etc/passs/passwd
/etc/default/passwd
/etc/pam.d/passwd
/etc/passwd-
/etc/passwd

這個find命令中使用了兩個表達式，他們之間沒有任何分隔，這是實際上表達的含義是，找到兩個條件都符合的文件。實際上就是表達式的邏輯與關系，這跟-a參數連接或者-and參數一樣：

[root@zorrozou-pc0 zorro]# find /etc -name 'pass*' -a -type f
/etc/passs/passwd
/etc/default/passwd
/etc/pam.d/passwd
/etc/passwd-
/etc/passwd
[root@zorrozou-pc0 zorro]# find /etc -name 'pass*' -and -type f
/etc/passs/passwd
/etc/default/passwd
/etc/pam.d/passwd
/etc/passwd-
/etc/passwd

?

除了邏輯與關系以外，還有邏輯或關系：

?

[root@zorrozou-pc0 zorro]# find /etc -name 'pass*' -o -type f


[root@zorrozou-pc0 zorro]# find /etc -name 'pass*' -or -type f

表示兩個條件只要符合其中一個都可以。 在條件表達式前面加!表示對表達式取非。同樣的也可以用-not參數。另外如果表達式很多，可以使用( expr )確定優先級，如：

[root@zorrozou-pc0 zorro]# find / ( -name 'passwd' -a -type f ) -o ( -name 'shadow' -a -type f )

這里表示的是：-name “passwd” -a -type f和-name “shadow” -a -type f是或關系。

?

最后

find中還可能常用的其他參數比如： -depth：制定了這個參數后，遇到目錄先進入目錄操作目錄中的文件，最后再操作目錄本身。 -maxdepth：目錄最大深度限制。 -mindepth：目錄最小深度限制。 還有一些其他相關參數大家可以在man find中自行補充，就不在這更多廢話了。希望本篇可以對大家深入的掌握find命令有所幫助。