如何安全地用命令删除当前目录下的指定文件，避免误删？

一、认知层：理解 rm 的“无感破坏力”本质

Linux/Unix 中 rm 是少数几个不经过任何缓冲区、不写入日志、不触发 fsync、不校验目标类型的原子操作命令。其设计哲学是“信任用户”，但现实是：Shell 展开（globbing）在执行前完成，rm *.log 实际执行时已不可见通配符匹配结果；符号链接被递归解析（rm -rf symlink/ 会删除指向的目标目录）；而 rm -rf /* 在 root 权限下等效于“格式化整个系统”。更隐蔽的是：ls | xargs rm 遇换行符会截断文件名，rm $file 在未加引号时遭遇 my file.log 将被拆成 rm my file.log —— 删除两个独立文件。

二、诊断层：Shell 展开与执行链路的七类高危陷阱

三、防御层：构建四阶“防呆删除”工程体系

1. 预览先行（Preview-First）：所有删除操作前强制显示将被影响的绝对路径列表
   echo "Will delete:"; printf '%s\n' *.log | sort | nl
2. 交互加固（Interactive Guard）：全局启用安全别名 + 脚本级显式确认
   alias rm='rm -I' # 大写 I：3+ 文件时强制确认；小写 i：逐个确认
3. 作用域沙箱（Scope Sandboxing）：禁用绝对路径、限制递归深度、绑定白名单
   find . -maxdepth 2 -name "*.log" -type f -delete（比 rm -rf 更可控）
4. 回收站替代（Trash Abstraction）：部署用户级回收机制，兼容脚本与 GUI
   sudo apt install trash-cli && alias rm='trash'，并配置 ~/.local/share/Trash 自动清理策略

四、工程层：生产环境落地的标准化流程图

flowchart TD
    A[用户输入 rm 命令] --> B{是否启用 trash 别名？}
    B -->|是| C[调用 trash-cli 移入 ~/.local/share/Trash]
    B -->|否| D[检查是否含 -f/-r 标志]
    D -->|含危险标志| E[触发 zsh/bash 安全钩子：提示确认 + 显示 find 匹配预览]
    D -->|无危险标志| F[执行 rm -i 交互式删除]
    E --> G[用户输入 yes/Y/YES 确认后继续]
    G --> H[记录审计日志：时间、UID、PWD、完整命令、匹配文件数]

五、进阶层：Shell 元编程级防护实践

对资深运维/平台工程师，需突破别名局限，采用函数封装规避展开陷阱：

# 安全 rm 函数：自动处理空格、换行、通配符预检
safe_rm() {
  local files=()
  for arg; do
    # 展开通配符并捕获结果
    shopt -s nullglob
    files+=($arg)  # 注意：此处 $arg 已展开，非原始字符串
    shopt -u nullglob
  done
  if [ ${#files[@]} -eq 0 ]; then
    echo "⚠️  Warning: no files matched '$*'" >&2
    return 1
  fi
  echo "🔍 Previewing ${#files[@]} files:"
  printf '  %s\n' "${files[@]}" | sort
  read -rp "Confirm deletion? (y/N): " -n 1 -e confirm && echo
  [[ $confirm =~ ^[yY]$ ]] || { echo "Aborted."; return 1; }
  command rm -v "${files[@]}"
}

该函数可无缝集成 CI/CD 清理脚本，并通过 set -o pipefail 和 set -u 进一步加固错误传播。