有一些病毒会把自身编译成二进制，然后替换系统软件，非常具有迷惑性。

在红帽系和Debian系的系统中，都有方法可以快速检查软件是否被替换。原理就是把系统文件的大小、修改日期、权限、哈希等信息与软件仓库中记录的信息比较，找出不同的文件。

红帽系，CentOS、Fedora等：

rpm -Va

Debian系：

dpkg -V
如果rpm被替换了，这个就行不通了，另外这技术已经过时了，现在直接改PATH，再用ln重新导向

以下是详细说明：
如果是redhat相关系统:
系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：
./rpm -Va > rpm.log  

如下：



如果一切均校验正常将不会产生任何输出，如果有不一致的地方，就会显示出来，输出格式是8位长字符串，每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ，如果是. (点) 则表示测试通过。

验证内容中的8个信息的具体内容如下：




标志
介绍




S
文件大小是否改变


M
文件的类型或文件的权限（rwx）是否被改变


5
文件MD5校验是否改变（可以看成文件内容是否改变）


D
设备中，从代码是否改变


L
文件路径是否改变


U
文件的属主（所有者）是否改变


G
文件的属组是否改变


T
文件的修改时间是否改变


如果命令被替换了，如果还原回来：
文件提取还原案例： 
rpm -qf /bin/ls 查询ls命令属于哪个软件包  
mv /bin/ls /tmp 先把ls转移到tmp目录下，造成ls命令丢失的假象  
rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中ls命令   
到当前目录的/bin/ls下   
cp /root/bin/ls /bin/ 把ls命令复制到/bin/目录 修复文件丢失  

如果是Ubuntu系统，Debian系
Debian系：

dpkg -V

可以检查包的完整性
-V|--verify <package> ...        Verify the integrity of package(s).
root@ubuntu:/home/yrq/Desktop# dpkg -V > dpkg.log
root@ubuntu:/home/yrq/Desktop# cat dpkg.log
??5??????   /opt/electron-ssr/content_shell.pak
??5?????? c /etc/libvirt/nwfilter/allow-arp.xml
??5?????? c /etc/libvirt/nwfilter/allow-dhcp-server.xml
??5?????? c /etc/libvirt/nwfilter/allow-dhcp.xml
??5?????? c /etc/libvirt/nwfilter/allow-incoming-ipv4.xml
??5?????? c /etc/libvirt/nwfilter/allow-ipv4.xml
??5?????? c /etc/libvirt/nwfilter/clean-traffic.xml
??5?????? c /etc/libvirt/nwfilter/no-arp-ip-spoofing.xml
??5?????? c /etc/libvirt/nwfilter/no-arp-mac-spoofing.xml
??5?????? c /etc/libvirt/nwfilter/no-arp-spoofing.xml
??5?????? c /etc/libvirt/nwfilter/no-ip-multicast.xml
??5?????? c /etc/libvirt/nwfilter/no-ip-spoofing.xml
??5?????? c /etc/libvirt/nwfilter/no-mac-broadcast.xml
??5?????? c /etc/libvirt/nwfilter/no-mac-spoofing.xml
??5?????? c /etc/libvirt/nwfilter/no-other-l2-traffic.xml
??5?????? c /etc/libvirt/nwfilter/no-other-rarp-traffic.xml
??5?????? c /etc/libvirt/nwfilter/qemu-announce-self-rarp.xml
??5?????? c /etc/libvirt/nwfilter/qemu-announce-self.xml
??5?????? c /etc/libvirt/qemu/networks/default.xml
??5??????   /usr/lib/python2.7/dist-packages/six-1.11.0.egg-info/PKG-INFO
??5??????   /usr/lib/python2.7/dist-packages/six-1.11.0.egg-info/dependency_links.txt
??5??????   /usr/lib/python2.7/dist-packages/six-1.11.0.egg-info/top_level.txt
??5??????   /usr/lib/python2.7/dist-packages/six.py
??5?????? c /etc/proxychains.conf
??5??????   /usr/share/gnome-mahjongg/themes/postmodern.svg
root@ubuntu:/home/yrq/Desktop# 



AIDE

“高级入侵检测环境”（AIDE）是一个自由，是流行的文件完整性校验工具Tripwire的替代品。它通过读取配置文件中的一系列正则表达式来建立一个数据库，当数据库初始化后，就可以用来对关键系统文件和一些用户自定义文件的完整性进行校验了。

AIDE 使用许多流行的信息摘要算法（md5、sha1、rmd160、tiger、haval等）来检查文件的完整性。额外的算法也很容易被添加进去。所有传统文件系统属性的一致性也会被检查。

Installing AIDE

在终端模式下进行安装之前，请确认您的网络连接良好，然后请在终端中输入以下命令：
sudo apt-get install aide

根据系统提示输入您的密码，如果ubuntu验证通过，AIDE安装包将会被下载并自动开始安装。 在安装过程中，一个配置信息窗口会出现，提示你每天的报告会默认发送给root用户，但是你可以通过编辑配置文件 /etc/default/aide来进行修改。请按下回车键来确认这则消息。

然后系统会询问你是否现在进行AIDE数据库的初始化。现在，请输入Yes，并按下回车键。下一个对话框会询问你是否要覆盖已存在的数据库。如果这是你第一次安装AIDE，请选择Yes并按回车键。

Configuring AIDE

AIDE有两个主要的配置文件。

/etc/default/aide	The AIDE general configuration file（AIDE的一般属性配置文档）

/etc/aide/aide.conf	The AIDE rules configuration file（AIDE检查规则配置文件）

一些AIDE属性和行为可以通过编辑配置文件/etc/default/aide来进行修改。例如：如果你想把AIDE每天产生的报告都发送至breandon用户而不是默认的root用户，只须使用你喜欢的文本编辑器简单的对下面这行进行修改。
MAILTO=root

这一行显示出你选择的用户（在这个例子中是breandon）：
MAILTO=breandon

阅读/etc/default/aide的注释来看一看其他配置项用来控制什么，然后就可以根据你的需求进行修改。另一个配置文件/etc/aide/aide.conf用来控制目录、文件和文件属性的检查规则，在扫描的时候AIDE根据这些规则来判断文件是否被更改。

例如，在默认的/etc/aide/aide.conf中，对于所有属于组BinLib的目录、文件，AIDE要检查它们的访问权限 （permissions）、节点（inode）、被链接数（number of links）、所属用户（user）、所属组（group）、大小（size）、块数目（block count）、修改时间（mtime）、建立时间（ctime）、md5校验值（md5 checksum）、sha1校验值（sha1 checksum）是否改变(p+i+n+u+g+s+b+m+c+md5+sha1)，而对于所有属于组Databases的目录和文件，AIDE只检 查它们的访问权限、被链接数、所属用户、所属组是否改变(p+n+u+g)。
每行可以定义一个属于特定组的目录，其格式如下：
directory Group definition

例如，要把目录/opt/local/bin加入到BinLib组的定义中，只要在/etc/aide/aide.conf中合适的章节添加如下的行：
/opt/local/bin BinLib

另一个善于使用AIDE的例子是用它监视系统任务计划文件（crontabs）。系统任务计划文件定义计划好的通过cron daemon执行的任务。为了确保这些文件不会被自动的、按计划执行的恶意程序所修改，只需简单的使用sudo命令，用你喜欢的编辑器编辑/etc /aide/aide.conf，找到下面这行：
Check crontabs
将Check crontabs块下所有以/var/spool开头的行的注释取消掉，然后存盘。为了进一步的应用AIDE，您应当仔细的阅读/etc/aide /aide.conf（尤其是那些被注释掉的块）和aide.conf的手册，您也可以阅读AIDE手册的HTML版本来进一步的了解这个配置文档的使用 方法。

如果您希望对配置文件的修改马上生效，请在终端下执行下面的命令来更新AIDE的配置：
sudo update-aide.conf

如果您不这样做，AIDE每天会自动进行这项工作，所以如果您作了修改，不需要马上手动执行上述的命令。你可以放心，通过使用crontab，配置会在AIDE每天运行前被自动的更新。
Using AIDE
要使用AIDE，您必须确认数据库存在：
ls /var/lib/aide

如果在ls命令的输出中可以看到aide.db，那么可以进行初始化的工作了，反之，如果您看到了aide.db.new你就必须使用下面的命令把aide.db.new重命名为aide.db：
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

AIDE数据库准备好后，您就可以对数据库进行初始化了，请在终端中输入下面的命令：
sudo aide --init

在初始化完成后，您应当可以看到下面这行：
### AIDE database initialized

您可以开始检查/etc/aide/aide.conf中定义的目录和文件，请在终端中输入下面的命令：
sudo aide --check

如果所有目录都是正常的，并且所有文件都在监视中，在检查结束后，您可以看到下面的提示：
### All files match AIDE database. Looks okay!

AIDE可以通过/etc/cron.daily/aide每天启动。AIDE的输出会发送给特定的用户，这个用户可以在/etc/default/aide文件中的“MAILTO＝”处进行定义，就像前面描述的一样。
关于AIDE、文件完整性监视和校验的一些资源可见下表：
本地资源
man aide	System manual page for the aide command（aide命令的手册）
man aide.conf	System manual page for the aide.conf configuration file（aide.conf的手册）
man aideinit	System manual page for the aideinit command（aideinit命令的手册）
man update-aide.conf	System manual page for the update-aide.conf command（update-aide.conf的手册）
/usr/share/doc/aide/manual.html	The AIDE manual in HTML format（AIDE手册的网页版本）
/etc/default/aide	The AIDE general configuration file（AIDE的一般属性配置文件）
/etc/aide/aide.conf	The AIDE rules configuration file（AIDE检查规则配置文件）
/etc/cron.daily/aide	Daily AIDE cron scripts（AIDE的计划任务脚本）
其他文件完整性监视和校验工具

 * BSign : Corruption and Intrusion Detection using embedded hashes
 *Integrit : Small footprint, unattended monitoring of file integrity with cascading rulesets Integrit Website ()
 *Samhain : Standalone, or Client-Server file integrity monitoring solution Samhain Website ()
 *Systraq : Monitors, and alerts on file changes Systraq Website ()

参考资料
http://blog.chinaunix.net/uid-20147410-id-173016.html

《应急响应实战笔记_2020最新版》

这本阿里P8撰写的算法笔记，再次推荐给大家，身边不少朋友学完这本书最后加入大厂： 
Github 疯传！史上最强悍！阿里大佬「LeetCode刷题手册」开放下载了！
在Windows系统中，我们可以使用TreeSize工具查找一些大文件或文件夹，非常的方便高效，在Linux系统中，如何去搜索一些比较大的文件呢？下面我整理了一下在Linux系统中如何查找大文件或文件夹的方法。
1： 如何查找大文件？
其实很多时候，你需要了解当前系统下有哪些大文件，比如文件大小超过100M或1G（阀值视具体情况而定）。那么如何把这些大文件搜索出来呢？例如我要搜索当前目录下，超过800M大小的文件
[root@getlnx01 u03]# pwd
/u03
[root@getlnx01 u03]# find . -type f -size +800M
./flash_recovery_area/backup/backupsets/ora_df873519197_s46815_s1
./flash_recovery_area/backup/backupsets/ora_df873523646_s46822_s1
./flash_recovery_area/backup/backupsets/ora_df873521714_s46818_s1
./flash_recovery_area/backup/backupsets/ora_df873522876_s46820_s1
./flash_recovery_area/backup/backupsets/ora_df873517396_s46813_s1
./flash_recovery_area/backup/backupsets/ora_df873523321_s46821_s1
./flash_recovery_area/backup/backupsets/ora_df873515765_s46811_s1
./flash_recovery_area/backup/backupsets/ora_df873520789_s46817_s1
./flash_recovery_area/backup/backupsets/ora_df873524162_s46823_s1
./flash_recovery_area/backup/backupsets/ora_df873518302_s46814_s1
./flash_recovery_area/backup/backupsets/ora_df873519953_s46816_s1
./flash_recovery_area/backup/backupsets/ora_df873516500_s46812_s1
./flash_recovery_area/backup/backupsets/ora_df873513413_s46809_s1
./flash_recovery_area/backup/backupsets/ora_df873514789_s46810_s1
./oradata/epps/invsubmat_d08.dbf
./oradata/epps/gmtinv_d08.dbf
./oradata/epps/gmtinv_x01.dbf
./oradata/epps/undotbs02.dbf
./oradata/epps/gmtinv_d07.dbf
./oradata/epps/undotbs01.dbf
./oradata/epps/gmtinv_x02.dbf

如上命令所示，我们仅仅能看到超过800M大小的文件的文件名称，但是对文件的信息（例如，文件大小、文件属性）一无所知，那么能否更详细显示一些文件属性或信息呢，当然可以，如下所示
[root@getlnx01 u03]# find . -type f -size +800M  -print0 | xargs -0 ls -l
-rw-r----- 1 oracle oinstall 2782846976 Mar  6 11:51 ./flash_recovery_area/backup/backupsets/ora_df873513413_s46809_s1
-rw-r----- 1 oracle oinstall 1878433792 Mar  6 11:53 ./flash_recovery_area/backup/backupsets/ora_df873514789_s46810_s1
-rw-r----- 1 oracle oinstall 1378492416 Mar  6 11:54 ./flash_recovery_area/backup/backupsets/ora_df873515765_s46811_s1
-rw-r----- 1 oracle oinstall 1641381888 Mar  6 11:56 ./flash_recovery_area/backup/backupsets/ora_df873516500_s46812_s1
-rw-r----- 1 oracle oinstall 1564065792 Mar  6 11:58 ./flash_recovery_area/backup/backupsets/ora_df873517396_s46813_s1
-rw-r----- 1 oracle oinstall 1663492096 Mar  6 12:00 ./flash_recovery_area/backup/backupsets/ora_df873518302_s46814_s1
-rw-r----- 1 oracle oinstall 1368244224 Mar  6 12:02 ./flash_recovery_area/backup/backupsets/ora_df873519197_s46815_s1
-rw-r----- 1 oracle oinstall 1629069312 Mar  6 12:04 ./flash_recovery_area/backup/backupsets/ora_df873519953_s46816_s1
-rw-r----- 1 oracle oinstall 1629954048 Mar  6 12:06 ./flash_recovery_area/backup/backupsets/ora_df873520789_s46817_s1
-rw-r----- 1 oracle oinstall 1202192384 Mar  6 12:07 ./flash_recovery_area/backup/backupsets/ora_df873521714_s46818_s1
-rw-r----- 1 oracle oinstall 1189388288 Mar  6 12:10 ./flash_recovery_area/backup/backupsets/ora_df873522876_s46820_s1
-rw-r----- 1 oracle oinstall 1089257472 Mar  6 12:11 ./flash_recovery_area/backup/backupsets/ora_df873523321_s46821_s1
-rw-r----- 1 oracle oinstall 1097687040 Mar  6 12:12 ./flash_recovery_area/backup/backupsets/ora_df873523646_s46822_s1
-rw-r----- 1 oracle oinstall 1051009024 Mar  6 12:13 ./flash_recovery_area/backup/backupsets/ora_df873524162_s46823_s1
-rw-r----- 1 oracle oinstall 4294975488 Apr  3 15:07 ./oradata/epps/gmtinv_d07.dbf
-rw-r----- 1 oracle oinstall 4194312192 Apr  1 22:36 ./oradata/epps/gmtinv_d08.dbf
-rw-r----- 1 oracle oinstall 4294975488 Apr  3 15:54 ./oradata/epps/gmtinv_x01.dbf
-rw-r----- 1 oracle oinstall 4294975488 Apr  3 15:57 ./oradata/epps/gmtinv_x02.dbf
-rw-r----- 1 oracle oinstall 4294975488 Apr  1 22:35 ./oradata/epps/invsubmat_d08.dbf
-rw-r----- 1 oracle oinstall 8589942784 Apr  4 09:55 ./oradata/epps/undotbs01.dbf
-rw-r----- 1 oracle oinstall 8589942784 Apr  4 09:15 ./oradata/epps/undotbs02.dbf

当我们只需要查找超过800M大小文件，并显示查找出来文件的具体大小，可以使用下面命令
[root@getlnx01 u03]# find . -type f -size +800M  -print0 | xargs -0 du -h
1.3G    ./flash_recovery_area/backup/backupsets/ora_df873519197_s46815_s1
1.1G    ./flash_recovery_area/backup/backupsets/ora_df873523646_s46822_s1
1.2G    ./flash_recovery_area/backup/backupsets/ora_df873521714_s46818_s1
1.2G    ./flash_recovery_area/backup/backupsets/ora_df873522876_s46820_s1
1.5G    ./flash_recovery_area/backup/backupsets/ora_df873517396_s46813_s1
1.1G    ./flash_recovery_area/backup/backupsets/ora_df873523321_s46821_s1
1.3G    ./flash_recovery_area/backup/backupsets/ora_df873515765_s46811_s1
1.6G    ./flash_recovery_area/backup/backupsets/ora_df873520789_s46817_s1
1004M   ./flash_recovery_area/backup/backupsets/ora_df873524162_s46823_s1
1.6G    ./flash_recovery_area/backup/backupsets/ora_df873518302_s46814_s1
1.6G    ./flash_recovery_area/backup/backupsets/ora_df873519953_s46816_s1
1.6G    ./flash_recovery_area/backup/backupsets/ora_df873516500_s46812_s1
2.6G    ./flash_recovery_area/backup/backupsets/ora_df873513413_s46809_s1
1.8G    ./flash_recovery_area/backup/backupsets/ora_df873514789_s46810_s1
4.1G    ./oradata/epps/invsubmat_d08.dbf
4.0G    ./oradata/epps/gmtinv_d08.dbf
4.1G    ./oradata/epps/gmtinv_x01.dbf
8.1G    ./oradata/epps/undotbs02.dbf
4.1G    ./oradata/epps/gmtinv_d07.dbf
8.1G    ./oradata/epps/undotbs01.dbf
4.1G    ./oradata/epps/gmtinv_x02.dbf

如果你还需要对查找结果按照文件大小做一个排序，那么可以使用下面命令
[root@getlnx01 u03]# find . -type f -size +800M  -print0 | xargs -0 du -h | sort -nr
1004M   ./flash_recovery_area/backup/backupsets/ora_df873524162_s46823_s1
8.1G    ./oradata/epps/undotbs02.dbf
8.1G    ./oradata/epps/undotbs01.dbf
4.1G    ./oradata/epps/invsubmat_d08.dbf
4.1G    ./oradata/epps/gmtinv_x02.dbf
4.1G    ./oradata/epps/gmtinv_x01.dbf
4.1G    ./oradata/epps/gmtinv_d07.dbf
4.0G    ./oradata/epps/gmtinv_d08.dbf
2.6G    ./flash_recovery_area/backup/backupsets/ora_df873513413_s46809_s1
1.8G    ./flash_recovery_area/backup/backupsets/ora_df873514789_s46810_s1
1.6G    ./flash_recovery_area/backup/backupsets/ora_df873520789_s46817_s1
1.6G    ./flash_recovery_area/backup/backupsets/ora_df873519953_s46816_s1
1.6G    ./flash_recovery_area/backup/backupsets/ora_df873518302_s46814_s1
1.6G    ./flash_recovery_area/backup/backupsets/ora_df873516500_s46812_s1
1.5G    ./flash_recovery_area/backup/backupsets/ora_df873517396_s46813_s1
1.3G    ./flash_recovery_area/backup/backupsets/ora_df873519197_s46815_s1
1.3G    ./flash_recovery_area/backup/backupsets/ora_df873515765_s46811_s1
1.2G    ./flash_recovery_area/backup/backupsets/ora_df873522876_s46820_s1
1.2G    ./flash_recovery_area/backup/backupsets/ora_df873521714_s46818_s1
1.1G    ./flash_recovery_area/backup/backupsets/ora_df873523646_s46822_s1
1.1G    ./flash_recovery_area/backup/backupsets/ora_df873523321_s46821_s1

不过如上截图所示，有时候排列的顺序并不完全是按大小一致，这个是因为du命令的参数h所致，你可以统一使用使用MB来显示，这样就能解决这个问题。到这里，这个在Linux系统查找大文件的命令已经非常完美了，当然如果你还有很多的需求，那么可以在这个命令上做修改、调整.

2: 如何查找Linux下的大目录
譬如有时候磁盘空间告警了，而你平时又疏于管理、监控文件的增长，那么我需要快速的了解哪些目录变得比较大，那么此时我们可以借助du命令来帮我们解决这个问题。
[root@getlnx01 u03]# du -h --max-depth=1
16K     ./lost+found
33G     ./flash_recovery_area
37G     ./oradata
70G     .
如果你想知道flash_recovery_area目录下面有哪些大文件夹，那么可以将参数max-depth=2 ，如果你想对搜索出来的结果进行排序，那么可以借助于sort命令。如下所示
[root@getlnx01 u03]# du -h --max-depth=2 | sort -n
3.5G    ./flash_recovery_area/EPPS
16K     ./lost+found
29G     ./flash_recovery_area/backup
33G     ./flash_recovery_area
37G     ./oradata
37G     ./oradata/epps
70G     .
[root@getlnx01 u03]# du -hm --max-depth=2 | sort -n
1       ./lost+found
3527    ./flash_recovery_area/EPPS
29544   ./flash_recovery_area/backup
33070   ./flash_recovery_area
37705   ./oradata
37705   ./oradata/epps
70775   .

[root@getlnx01 u03]# cd /
[root@getlnx01 /]# du -hm --max-depth=2 | sort -n
有时候搜索出来的结果太多了（譬如，我从根目录开始搜索），一直在刷屏，如果我只想查出最大的12个文件夹，怎么办呢？此时就要借助head命令来显示了
[root@getlnx01 /]# du -hm --max-depth=2 | sort -nr | head -12
407480  .
167880  ./u04
158685  ./u02/oradata
158685  ./u02
152118  ./u04/oradata
70775   ./u03
37705   ./u03/oradata
33070   ./u03/flash_recovery_area
5995    ./u01/app
5995    ./u01
3551    ./usr
1558    ./usr/share
[root@getlnx01 /]# 

这本阿里P8撰写的算法笔记，再次推荐给大家，身边不少朋友学完这本书最后加入大厂： 
Github 疯传！史上最强悍！阿里大佬「LeetCode刷题手册」开放下载了！
以上就是良许教程网为各位朋友分享的Linux相关知识。

 

文件管理类都有ls，mv，rm

1、ls 命令可以列出当前目录的内容或指定目录

语法格式: ls [选项] [文件]

常用参数：

-a  显示所有文件及目录 (包括以“.”开头的隐藏文件)

-l  使用长格式列出文件及目录信息

-r  将文件以相反次序显示(默认依英文字母次序)

-t  根据最后的修改时间排序

-A  同 -a ，但不列出 “.” (当前目录) 及 “..” (父目录)

-S  根据文件大小排序

-R  递归列出所有子目录

例：查看文件读时间

ll --time=atime xx.txt

例：修改文件所有者为guo

chown guo a.txt

例：查看文件属性更改时间

ll --time=ctime xx.txt

例：查看文件更改时间

ll a.txt

2、mv 移动文件

语法格式：mv [参数]

常用选项：

-i  交互式

-f  强制

-b  目标存在，覆盖前先备份

例：文件夹移动到opt目录

mv a/ /opt

例：从opt目录移到当前目录

mv /opt/a .

利用rename 可以批量修改文件名

例：为所有的conf文件加上.bak后缀：

rename 'conf' 'conf.bak' f*

例：去掉所有的bak后缀：

rename '.bak' '' *.bak

3、rm 删除文件

语法格式：rm [参数] [文件]

常用选项：

-i 交互式

-f 强制删除

-r 递归

--no-preserve-root 删除/

例：删除.xd 隐藏文件

rm -rf .[^.]*

例：删除隐藏和非隐藏的文件

rm -rf * .[^.]*

例：删除-f的文件夹

rm -f     删除不了

rm -rf ./-f   绝对路径删就可以

rm -- -f     也可以但只针对横线开头的 

linux 中数据分为两种：一种是表示文件存储大小的数据，一种是表示描述文件属性，特征的数据，称为元数据。
Linux中查看文件类型可以使用 file 命令：（使用 file 命令可以简单查询出文件的类型）

使用 stat 命令则可以查看完整的文件元数据
stat 既是内部命令 也是外部命令



stat 命令用法：

使用 stat 命令可以查看文件的详细属性



file:：1.txt 表示文件的完整名称

Size:：表示文件的数据大小

Blocks:：占用磁盘的块数

IO Block：IO 块的大小

Device：所在设备

regular： 文件的类型

Indoe：文件的节点

Links：文件的链接数

Access：文件的访问权限



(0755/drwxr-xr-x) 文件所有者为drw 读写执行权限

(Uid）所有者的Uid号，类型身份证号具有唯一性

(Gid）所有组也是主组号

Access（第二个）：文件最近一次的访问时间

Modify：文件的修改时间

Chang：文件的改变时间

Birth：文件的类型    -    表示普通文件
修改文件的时间戳信息可以利用 touch 命令

touch 是一个外部命令



touch 命令的详细介绍，这里说到如果文件存在则修改此文件的时间并且文件内容不变保留原来数据，若不存在则创建文件，因此，利用 touch 可以修改文件的时间戳信息。



touch 命令的使用示例：