Sicurezza in Linux: Ognuno ha il suo sticky bit che si merita!

Scritto il da ubuntulandia

Sicurezza in Linux: Ognuno ha il suo sticky bit che si merita!

Nei sistemi operativi Unix e Unix-like, ed in generale nei sistemi POSIX, lo sticky bit è un permesso speciale che può essere associato ad un file (tipicamente ai file eseguibili) o ad una directory.

Storia.

Lo sticky bit venne introdotto nella quinta edizione di UNIX, nel 1974, per essere usato solo su file eseguibili. Se impostato, esso forzava il sistema operativo a mantenere nello spazio di swap l’immagine del programma anche dopo che il processo relativo era terminato.

Questo comportamento velocizzava le esecuzioni successive, in quanto lo spazio di swap era gestito come un file contiguo, e quindi più rapido da rileggere rispetto ai file eseguibili, che potevano essere memorizzati in maniera frammentata all’interno del file system.

sticky bit

I programmi avviati frequentemente, come gli editor di testo, ne guadagnavano molto in velocità d’avvio. Tra i problemi causati dall’uso dello sticky bit vi era quello della sostituzione del file eseguibile originale: per poterlo fare bisognava innanzitutto rimuovere lo sticky bit dal file eseguibile, quindi eseguire il programma e poi uscirne al fine di pulire la cache, per poi sostituire il file eseguibile ed infine ripristinare lo sticky bit.

La velocità guadagnata in esecuzioni ripetute andò persa quando Unix venne portato sui sistemi hardware con il supporto per l’accesso diretto alla memoria (Direct Memory Access) da parte dei dispositivi di memoria di massa, ed anche su quelli che sostituivano il sistema di swapping con il paging. Nonostante ciò, lo sticky bit restò operativo in molte varianti della Versione 5 (in particolare sui sistemi Solaris e su HP-UX).

Leggi anche:  PainTown picchiaduro a scorrimento come i giochi delle sala giochi di una volta.

La release 4.4 Lite del BSD mantenne il supporto allo sticky bit sul proprio sistema, per poi eliminarlo nella versione OpenBSD (dalla release 3.7) e FreeBSD (dalla release 2.2.1); rimane in NetBSD. Nessuna versione di Linux ha mai supportato il comportamento tradizionale per i file eseguibili.

Uso.

Al giorno d’oggi lo sticky bit viene comunemente usato per le directory destinate a contenere file temporanei di più utenti: se impostato su una directory esso indica che i file e subdirectory in essa contenuti possono essere cancellati o rinominati solo dal proprietario, o dal proprietario della directory che lo contiene o dall’utente root, anche se si dispongono di tutti gli altri permessi di scrittura necessari.

Questo permesso viene spesso impostato sulle directory /tmp e /var/tmp per evitare che utenti ordinari cancellino o spostino i file temporanei appartenenti agli altri utenti, pur consentendo a chiunque di creare nuovi file e directory. Questo comportamento venne introdotto nel 4.3BSD (1986) ed è tuttora presente in molti sistemi Unix.

Su Solaris, a partire da SunOS 2.5, lo sticky bit può essere impostato dall’amministratore (root) su file non eseguibili per indicare al kernel di non mantenere in cache i dati di tali file. L’uso è tipico con i file di swap, per evitare che le operazioni di accesso a tali file finiscano con l’occupare la cache a scapito di altri dati più importanti. Questo comportamento viene occasionalmente sfruttato anche per effettuare dei test che misurano le prestazioni del sistema (benchmark).

Leggi anche:  Guida per l'utilizzo di GParted: Come risolvere i problemi di avvio del sistema operativo.

Esempi.

Lo sticky bit può essere impostato tramite il comando chmod, specificandolo tramite la sua rappresentazione ottale 1000 o tramite la rappresentazione simbolica t (s è già usato per il permesso setuid).

Ad esempio, per impostarlo sulla directory /usr/local/tmp si può usare il comando

# chmod +t /usr/local/tmp

Per assicurarsi che la directory abbia anche gli altri permessi standard delle directory condivise per file temporanei si può usare

# chmod 1777 /usr/local/tmp

Nella notazione simbolica dei permessi, la presenza dello sticky bit è segnalata dalla lettera t all’ultimo posto (quello altrimenti usato per indicare il permesso di esecuzione per la classe altri). Ad esempio, su Solaris 8, la directory /tmp, che normalmente ha lo sticky bit attivato, viene mostrata così:

$ ls -ld /tmp  drwxrwxrwt   4 root     sys          485 Nov 10 06:01 /tmp

In caso di file o directory privi del permesso di esecuzione per la classe altri, viene invece usata la lettera T maiuscola, ad esempio:
# ls -l test
-rw-r–r– 1 root other 0 Nov 10 12:57 test

# chmod +t test; ls -l test
-rw-r–r-T 1 root other 0 Nov 10 12:57 test

Conclusione:

Lo Sticky bit è un permesso speciale, il quale comportamento è diverso per i file eseguibili e le directory.

Corrisponde alla lettera t(rappresentazione simbolica) o 1000 (rappresentazione ottale).

Se i permessi di esecuzione non sono impostati è la lettera T che corrisponde.

Leggi anche:  Come creare, modificare e ordinare i propri record bibliografici con Bibus.

    I file eseguibili – il programma rimane in memoria per la ulteriore esecuzione
Le directory – se lo sticky bit è impostato su una directory, solo il proprietario può cancellare i file (è il caso delle directory /tmp e /var/tmp sotto GNU/Linux)

Se ti è piaciuto l’articolo , iscriviti al feed cliccando sull’immagine sottostante per tenerti sempre aggiornato sui nuovi contenuti del blog:

rss-feed-ubuntu_linux-banner

Espero que esta publicación te haya gustado. Si tienes alguna duda, consulta o quieras complementar este post, no dudes en escribir en la zona de comentarios. También puedes visitar Facebook, Twitter, Google+, Linkedin, Telegram y WhatsApp donde encontrarás información complementaria a este blog. COMPARTE EN!
stampa la pagina
Precedente Come configurare scanner e stampanti per usargli al meglio in Ubuntu. Successivo Ubuntu VM Builder può essere usato anche per creare macchine virtuali personalizzate.

Lascia un commento