Linux文件内容搜索专家

• 搜索命令

  • 首选（支持 PCRE 的 grep） grep -P -nH -I -d skip --color=never '^(?i)PermitRootLogin\s+yes|^PasswordAuthentication\s+yes|^ChallengeResponseAuthentication\s+yes' /etc/ssh/*

  • 兼容性备选（不依赖 -P，使用 POSIX ERE） grep -E -nH -I -d skip --color=never '^(?i)PermitRootLogin[[:space:]]+yes|^PasswordAuthentication[[:space:]]+yes|^ChallengeResponseAuthentication[[:space:]]+yes' /etc/ssh/*

• 命令解析

  • 通用参数
    • /etc/ssh/*：仅匹配 /etc/ssh 当前目录下的条目，不递归子目录
    • -n：输出匹配所在行号
    • -H：始终显示文件名
    • -I：跳过二进制文件
    • -d skip：遇到目录时跳过，避免“Is a directory”报错，确保仅当前目录范围
    • --color=never：禁止颜色转义，确保标准输出干净
  • PCRE 版特性（-P）
    • -P：启用 PCRE，支持 \s 与内联标志 (?i)
    • 正则：
      • ^：行首锚定
      • (?i)：大小写不敏感标志（位于模式起始处，通常对整个模式生效；与 -P 配合可满足给定表达式）
      • \s+：一个或多个空白字符（空格/Tab）
      • |：多分支匹配三个指令行
  • POSIX 版特性（-E）
    • -E：扩展正则
    • 用 [[:space:]]+ 替代 \s+，与 POSIX 兼容
    • 内联 (?i) 在多数 grep 中会被按文本解释，若需全局大小写不敏感，可在此命令上增加 -i

• 预期输出

  • 形如： /etc/ssh/sshd_config:12:PermitRootLogin yes /etc/ssh/sshd_config:34:PasswordAuthentication yes /etc/ssh/sshd_config.d/01-custom.conf:5:ChallengeResponseAuthentication yes
  • 若无命中则无输出，退出码为 1（命中则为 0）

• 使用提示

  • 关于大小写不敏感：
    • 所给模式中 (?i) 一般会对整个模式生效（PCRE 行为），若在您的环境中仅首个分支大小写不敏感，可显式加 -i 确保三者均不区分大小写： grep -P -i -nH -I -d skip --color=never '^(?i)PermitRootLogin\s+yes|^PasswordAuthentication\s+yes|^ChallengeResponseAuthentication\s+yes' /etc/ssh/*
  • 仅列出包含风险设置的文件名（不显示内容）： grep -P -l -I -d skip '^(?i)PermitRootLogin\s+yes|^PasswordAuthentication\s+yes|^ChallengeResponseAuthentication\s+yes' /etc/ssh/*
  • 当系统 grep 不支持 -P（常见于 BusyBox）：
    • 使用 POSIX 备选命令（上面第二条），并在需要时加 -i： grep -E -i -nH -I -d skip --color=never '^(permitrootlogin)[[:space:]]+yes|^(passwordauthentication)[[:space:]]+yes|^(challengeresponseauthentication)[[:space:]]+yes' /etc/ssh/*
  • 仅搜索常规文件更稳妥（严格限制“当前目录”且排除目录/管道等）： find /etc/ssh -maxdepth 1 -type f -print0 | xargs -0 grep -P -nH -I --color=never '^(?i)PermitRootLogin\s+yes|^PasswordAuthentication\s+yes|^ChallengeResponseAuthentication\s+yes'

• 进阶选项

  • 忽略被注释的行并允许前置空白（更贴合 sshd_config 实际书写风格）： grep -P -nH -I -d skip --color=never '^(?!\s*#)\s*(?i:PermitRootLogin|PasswordAuthentication|ChallengeResponseAuthentication)\s+yes' /etc/ssh/*
    • 说明：
      • ^(?!\s*#)\s*：行首允许空白且排除注释行
      • (?i:... )：仅对括号内的关键词大小写不敏感
  • 查看上下文，便于审阅附近配置： grep -P -nH -I -d skip -C2 --color=never '^(?i)PermitRootLogin\s+yes|^PasswordAuthentication\s+yes|^ChallengeResponseAuthentication\s+yes' /etc/ssh/*
  • 仅关心是否存在命中（脚本中用退出码判断）： grep -P -q -I -d skip '^(?i)PermitRootLogin\s+yes|^PasswordAuthentication\s+yes|^ChallengeResponseAuthentication\s+yes' /etc/ssh/* && echo "found" || echo "not found"

搜索命令

• 首选（ripgrep，推荐，支持深度限制，默认忽略.gitignore）：
  rg -I -l --max-depth 3 --hidden -g '!/.git/' -e 'AKIA[0-9A-Z]{16}|-----BEGIN RSA PRIVATE KEY-----|-----BEGIN EC PRIVATE KEY-----|api_key=' /home/dev/repos/analytics-service

• 兼容方案（GNU find + grep，系统常见，支持深度限制）：
  find /home/dev/repos/analytics-service -maxdepth 3 -type f -not -path '/.git/' -print0 | xargs -0 grep -E -I -l 'AKIA[0-9A-Z]{16}|-----BEGIN RSA PRIVATE KEY-----|-----BEGIN EC PRIVATE KEY-----|api_key='

• 可选（ag/The Silver Searcher，若已安装）：
  ag -l --depth 3 'AKIA[0-9A-Z]{16}|-----BEGIN RSA PRIVATE KEY-----|-----BEGIN EC PRIVATE KEY-----|api_key=' /home/dev/repos/analytics-service

命令解析

• 通用正则（三个命令均适用）
  • AKIA[0-9A-Z]{16}：匹配AWS Access Key ID
  • -----BEGIN RSA PRIVATE KEY-----：匹配RSA私钥头
  • -----BEGIN EC PRIVATE KEY-----：匹配EC私钥头
  • api_key=：匹配包含api_key=的配置项
  • 使用单引号包裹避免shell解释；使用“|”作为或条件
• ripgrep 版本
  • -I：忽略二进制文件（提升速度，减少误报）
  • -l：仅输出匹配到的文件名（每文件一次）
  • --max-depth 3：限制递归深度为3层子目录（可按需调整）
  • --hidden：包含隐藏文件/目录（例如以“.”开头的文件）
  • -g '!/.git/'：显式排除所有.git目录内容，避免噪声
  • -e '...'：指定正则表达式
• find + grep 版本
  • find /path -maxdepth 3：限制最大递归深度为3
  • -type f：仅文件
  • -not -path '/.git/'：排除.git目录
  • -print0 | xargs -0：以NUL分隔，安全处理空格/特殊字符文件名
  • grep -E：使用扩展正则支持“|”和“{n}”
  • -I：忽略二进制文件
  • -l：仅输出文件名
• ag 版本
  • -l：仅文件名
  • --depth 3：限制搜索深度

预期输出

• 每行一个匹配到的文件路径（绝对/相对取决于命令与当前目录），不包含匹配内容或行号，例如：
  • /home/dev/repos/analytics-service/config/settings.yml
  • /home/dev/repos/analytics-service/src/utils/credentials.py

使用提示

• 深度调整：将上述命令中的“3”替换为所需子目录深度（例如1、2、5等）。
• 性能建议：
  • 优先使用ripgrep（rg），其默认并行和.gitignore支持能显著加速。
  • 若仓库很大，可加上--max-filesize 1M限制超大文件：
    rg ... --max-filesize 1M ...
• 结果唯一性：-l保证每个匹配文件仅输出一次，无需额外去重。
• 可见性：
  • 已包含--hidden，以覆盖隐藏文件；同时显式排除了.git目录，避免扫描版本库索引对象。
• 仅输出基名（如果你只想文件名而非路径）：
  rg ... | xargs -n1 basename | sort -u

进阶选项

• 限定文件类型以进一步加速（ripgrep）：
  • 仅代码文件：
    rg -I -l --max-depth 3 --hidden -g '!/.git/' -t py -t js -t ts -t go -t java -e '...pattern...' /home/dev/repos/analytics-service
• 排除常见大文件或资产目录：
  • 添加多个-g排除规则，例如：
    -g '!/node_modules/' -g '!/dist/' -g '!/build/' -g '!**/.min.'
• 验证匹配详情（排查误报时临时使用）：
  • 将-l改为-n，查看匹配行与行号：
    rg -I -n --max-depth 3 --hidden -g '!/.git/' -e '...pattern...' /home/dev/repos/analytics-service
• 仅在已跟踪文件中搜索（Git仓库，减少范围）：
  git -C /home/dev/repos/analytics-service ls-files -z | xargs -0 rg -I -l -e 'AKIA[0-9A-Z]{16}|-----BEGIN RSA PRIVATE KEY-----|-----BEGIN EC PRIVATE KEY-----|api_key='
  注意：此方法不支持深度限制，但能显著减少扫描对象数量。

以上命令均为安全的只读搜索，不会修改任何文件或权限。根据需要调整深度数值与排除规则即可。