在我们进行系统运维的时候，会需要去查看系统下文件的一些时间属性，如创建时间、修改时间等，比如查看一个应用的配置文件的修改时间，用于初步判断该文件是否被篡改过。那么本文就针对Linux系统下的文件的时间属性来做一个介绍。

文件的时间属性

在Linux系统下，文件的时间属性主要分为三种：

访问时间 atime：

也就是Access time。读一次文件的内容，该文件的atime就会更新。比如常见的使用more、cat对该文件进行查看时，其atime将更新。

修改时间 mtime：

也就是Modify time。对该文件进行内容上的修改，该文件的mtime就会更新。比如常见的使用vi、vim对文件进行修改后保存，其mtime将更新。

文件属性变更时间 ctime：

也就是Change time。对该文件的属性状态进行修改，改文件的ctime就会更新。比如文件名、内容、大小、权限、所属组等改变时，其ctime将更新。

ll命令查看文件时间属性

使用ll或ls -l命令查看的就是mtime：

使用ll --time=atime或ls -lu查看的就是atime：

使用ll --time=ctime或ls -lc查看的就是ctime：

当然，我们还可以使用stat命令来同时查看文件的三种时间属性：

触发更新时间的几个命令效果

使用cat命令来触发其atime更新：

使用vi修改来触发其mtime更新：

在这里我们可以看到该文件的mtime和ctime都被更新了，而且是ctime紧接着mtime更新，几乎是同一时刻。那是因为使用vi修改保存时，理所当然的mtime更新，随后由于文件大小发生变化，触发ctime更新。

使用chmod来触发其ctime更新：

简单总结下，能正常触发修改上述3种时间属性的命令和效果：

• cat、less、more等只读文件，不修改文件的操作，只会修改atime的值。

• chmod、chown等修改文件权限、所有者，所属组的操作，会修改atime和ctime的值。

• vi等修改文件内容的操作，会修改atime、ctime、mtime的值。（实际操作中，出现过atime不变的情况）

利用时间属性的常见操作

结合find命令查找特定时间要求的文件，例如查询最近24小时内修改过的文件：find /data -mtime 24

通过查看atime来判断是否该文件被查看、访问过，没有多大意义，因为任何一个操作都可能引起atime的变更，而且一个文件创建后至少要被读取才算有用吧。

通过查看mtime来判断是否该文件被修改过，其实也不算准确，因为mtime除了正常修改文件会更新外，也可以被特意进行修改到一个虚假的时间点里，如使用touch命令。

比如使用touch命令把时间修改到3天前，从下图中我们可以看到atime和mtime都被修改到了3天前：

也可以修改到特定的时间点上：

不过从上面两个修改可以看出，ctime是没有被修改的。

那么是否可以通过ctime来判断该文件是否被修改过呢？也不行！因为这个时间也是可以被更新的，还是使用touch命令，如touch -c和touch -a，不过可以看出touch -c将修改3个时间，touch -a只修改了atime和ctime。

对于时间属性的系统优化

默认情况下，系统每次访问、修改、创建磁盘里的文件的时候，都会更新文件的atime，导致系统会有部分资源消耗在此，从而使得系统开销增加。如果我们能让系统不对atime进行记录更新，那么可以在某个程度上让系统得到一定的优化，参考操作如下：

echo -ne

"

proc /proc proc noatime,defaults 0 0

"

>>/etc/fstab

sudo mount -a

总结

简单回顾一下，我们从3种时间属性的开始引入；并介绍借由ll命令查看文件的时间属性；再演示触发更新时间的几个命令的效果；分享利用时间属性的一般常见操作；最后提供时间属性的系统优化的操作给大家参考。以上是本文对进行系统运维时，查看Linux系统下文件的时间属性的分享，希望对大家有帮助。

作者：何立