Как 'rm -rf /' может удалить все файлы в системе?

Я не пробовал эту команду в Ubuntu (по понятным причинам), поэтому я не уверен, что Ubuntu разрешит ее выполнение. Но он известен тем, что удалял все. Просто из любопытства, что происходит, когда ядро ​​и /binудаляются? Как rmподдерживать стек времени выполнения? Как rmудается связаться с файловой системой и завершить удаление? Как это связано с оборудованием?

Неважно, что /bin/rmудалено. Он запускается только один раз, и к этому моменту он все загружается в память, как и все, что требуется для продолжения отправки удалений в файловую систему и на диск.

Боковая панель / Update: За ответ Дэвида Hoelzer в (и упоминается в комментариях), инод HardLink /bin/rmиспользуется , чтобы указать будет оставаться вплоть до rmзаконченного (потому что Linux имеет место в открытом состоянии) , но этот факт не имеет значения; состояние диска вообще не имеет значения.

Двоичный файл загружается в память перед запуском. Даже если вы сможете вручную уничтожить rmданные на диске, это не повлияет на удаление и не помешает завершению удаления (при условии, что вы иначе не сделаете диск недоступным).

Не знаете, что такое инод или хардлинк? Это ответ, где я работал.

В любом случае, именно поэтому вы можете удалить пакет для текущего ядра без взрыва компьютера. Пока вы устанавливаете другую версию, она сможет загружаться.

Опять же, это работает, потому что rmвызывается только один раз. Следующее произойдет сбой после /bin/rmсмерти, потому что он вызывает его один раз для каждого имени файла:

find / -exec rm {} \;

Тем не менее, find / -exec rm -rf {} +и find / -print0 | xargs -0 rm -rfоба они, скорее всего, потерпят неудачу, поскольку у них обоих есть ограничения аргументов, то есть они будут удалять только несколько файлов перед повторным вызовом. В какой-то момент пути /bin/rmможет истечь ( и быть выпущен), прежде чем остальные файлы были удалены. Это не гарантировано, хотя. Если бы /bin/был введен последний каталог, эти методы могли бы работать.

Я не пробовал эту команду в Ubuntu (по понятным причинам), поэтому я не уверен, что Ubuntu разрешит ее выполнение.

Я сделал. rm -rf / --no-preserve-rootвыполнялся в сеансе root, открытом непосредственно на компьютере, в то время как я также подключался sshс другого компьютера, используя учетную запись root.

Происходит то, что вы начинаете получать много сообщений, таких как:

rm: невозможно удалить '/ ...': операция не разрешена

или же:

rm: невозможно удалить '/ ...': устройство или ресурс заняты

Удивительно, но sshсоединение оставалось открытым до конца операции. Только когда я закрыл соединение и попытался открыть его снова, появилась ошибка:

Ошибка чтения из сокета: Сброс соединения по пиру

На машине остаются четыре каталога:

• /dev, Здесь хранятся файлы устройства.
• /proc- файловая система в памяти, созданная ядром.
• /run, стандартизированное расположение файловой системы для демонов.
• /sys, Это позволяет получить информацию о системе и ее компонентах.

Это означает, что там не так много осталось и мало что можно сделать там. Вы не можете ls(хотя при использовании Tabимена каталогов и файлов по-прежнему отображаются). Вы можете cdв разных каталогах, а также echoвещи, но такие команды, как catбольше не доступны.

Там sudoтоже нет .

shutdown -h nowи rebootисчез, так что ваш единственный вариант - выключить машину вручную. Logout ( exit) не работает, даже если он показывает приятный текст «logout».

После того, как вы попытаетесь перезагрузить компьютер, вы увидите приятную ошибку GRUB 15, а затем ничего не произойдет, и в этот момент вы можете начать думать, что вы, rmвозможно, сделали что-то плохое для вашей системы.

Вы тоже можете это сделать

Нет, подожди, не делай этого на своей машине!

Вместо этого вы можете запустить виртуальную машину . Виртуальные машины имеют то преимущество, что делают эксперименты действительно простыми. Поскольку вы используете Ubuntu, вас может заинтересовать vmbuilder . Это инструмент, который позволяет вам развертывать виртуальные машины за считанные минуты (официальная документация утверждает, что это можно сделать «примерно за минуту», но реальное время, даже на быстром оборудовании, составляет около двух-трех минут). ,

После завершения развертывания у вас есть среда, с которой вы можете играть. Если вы в конечном итоге уничтожите его, это не имеет значения: вы снова развернете машину, и через две минуты вы сможете продолжить.

Если вы используете программное обеспечение, такое как VMWare, вас также могут заинтересовать моментальные снимки (обратите внимание, что бесплатный VMWare Player не имеет этой функции; вам необходимо приобрести VMware Workstation). Обратите внимание, что Hyper-V является бесплатным и поддерживает моментальные снимки (но вы должны запустить Windows).

Преимущество снимков заключается в том, что вы можете сделать один снимок за считанные миллисекунды. Откат к снимку занимает больше времени, но часто занимает несколько секунд. Это делает эксперименты еще проще и быстрее.

Этот эксперимент не ограничен самой операционной системой. Вы можете делать все, что связано с программным обеспечением. Есть подозрительное приложение? Протестируйте его на виртуальной машине - если это вирус, он не принесет никакого вреда. Хотите проверить работу с базой данных, учитывая, что она может повлиять на окружающую среду? Проверьте это в ВМ.

Что если вы сделали это на реальной, не тестируемой машине?

Плохие вещи случаются. Обратите внимание, что rmзащищает вас от себя: rm -rf /не будет работать: вам нужно использовать --no-preserve-root. И все же, что если вы действительно добились по ошибке удаления всего?

rmтолько отсоединяет файлы , но данные все еще там, на вашем жестком диске. Это позволяет восстановить его позже (именно поэтому вы не должны просто выбрасывать свои жесткие диски с конфиденциальными данными, когда они больше не работают).

Это означает, что вам просто необходим запасной компьютер с корпусом жесткого диска, чтобы фактически восстановить практически все файлы. Важно избегать записи чего-либо на жесткий диск для восстановления: записанные вами данные будут перезаписывать несвязанные файлы.

Как отмечается в статье в комментарии 200_success , если вы будете действовать умно, вы сможете вернуть машину обратно даже без запасного ПК. Если вы заботитесь только о данных, я бы не стал беспокоиться - восстановить их с помощью запасного ПК гораздо проще.

Причина в том, что слой именования файлов (то, что вы видите ls) действительно для вашего удобства. Драйвер файловой системы и ядро ​​заботятся только о том, что это за индекс. Когда на файл ссылаются по имени, он немедленно преобразуется в inode, который содержит все метаданные, включая разрешения, блоки данных на диске, идентификатор владельца, идентификатор группы и количество ссылок.

Здесь действительно важно количество ссылок. Когда вы удаляете файл в системе UNIX, фактическим системным вызовом является unlink. Что происходит внутри, так это то, что количество ссылок (количество имен файлов в слое именования файлов), указывающих на этот индекс, уменьшается. Файловая система знает, что файл удаляется, когда счетчик ссылок достигает нуля.

Когда файл удаляется, rmон также редактирует файл каталога (да, это просто файл, который содержит имя файла и индекс, в дополнение к нескольким другим битам, которые не важны для этого ответа). Тем не менее, именно связь освобождает ресурсы диска.

Это приводит к некоторым другим интересным эффектам. Во-первых, можно открыть файл с нулевым количеством ссылок. Это происходит, когда rm -rf /удаляет запись для /bin/rm. Файл открыт (есть дескриптор файла), но индекс помечен как удаленный (количество ссылок = 0). Ресурсы диска не будут освобождены и использованы повторно, пока дескриптор файла не закроется.

Другой интересный эффект - это то, что происходит, когда у вас есть индекс с числом ссылок больше нуля, но в слое именования файлов ничего не указывает на это. В каком-то смысле это очень хорошо спрятанный файл :). Чтобы получить к нему доступ, вы должны использовать что-то низкое, чтобы ссылаться на него по номеру инода, а не по имени (потому что его нет) или отредактировать запись в каталоге, указав на индекс с помощью шестнадцатеричного редактора.

Третий интересный эффект - это то, что происходит, если вы уменьшаете количество ссылок до нуля, но в любом случае указываете запись каталога на inode. Я оставлю это вам, чтобы поэкспериментировать, если хотите. Очевидно, что эти два последних варианта приводят к тому, что файловая система находится в несогласованном состоянии.

Предыдущие ответы хороши, но я хочу уточнить одну деталь:

rmэто не просто команда. Это программа, которая находится в PATH.

Поэтому, что происходит, когда вы выполняете следующее:

• вы звоните (как root) rm -rf /
• экземпляр программы rmзагружается в память с аргументами -rfи/
• на основании этих аргументов программа rmначинает свою работу (просматривая все в смонтированном / разделенном и рекурсивно удаляя ссылки на него [извините за технически;)])
• после завершения экземпляр rmпрограммы выгружается
• на данный момент в памяти хранятся только те программы, которые были загружены ранее (например, bash, если у вас открыт терминал в Ubuntu, среда рабочего стола, ядро, драйверы и т. д.)
• если вы попытаетесь вызвать любую другую команду (которая в случае с Linux делает ее автономной программой), она завершится сбоем, поскольку в местоположениях PATH не найдено таких программ (и местоположений PATH больше не существует). Однако все, что загружено, все равно будет работать

Просто для того, чтобы понять, как это работает, попробуйте установить LAMP на Ubuntu (в Virtualbox), некоторый скрипт и кэш кода операции PHP, а затем вызвать эту злую команду. Удивительно (если вам повезло, и ваш кэш кода операции не заметит удаление php-файла), вы все равно можете получить доступ к php-скриптам извне через веб-сервер apache!

PS: эта злая команда даже запускалась как root, не удаляет everything, она не может удалить некоторые привилегированные процессы ядра из /procи не может удалить некоторые вещи с /devустройств, которые появляются в вашей системе как файлы. На самом деле, root не так всемогущ, как мы думаем, с другой стороны, ядро.

PPS: Также в качестве второй мысли у вас также будут файлы, которые были lockedво время попытки удаления другим процессом.

После того, как все будет удалено с жесткого диска, ядро ​​все еще работает, но все равно застряло, так как не осталось никаких устройств и программ, команд и т. Д.

ОС больше не будет работать.

И, как говорит Оли, команда загружается / выполняется в память, и ничто не остановит ее, если вы не уничтожите этот процесс (конечно, если команда kill все еще присутствует ^^).

Помните, что если в системе установлен selinux, а selinux находится в принудительном режиме, а политики selinux настроены правильно; тогда ничего особенного не произойдет.

Selinux является обязательным контролем доступа, что означает, среди прочего, что пользователь root на самом деле обладает не намного большей способностью уничтожать систему, чем любой другой пользователь в системе.

Selinux применяется в ядре; вам придется скомпрометировать ядро, чтобы обойти его.

В хорошо спроектированной системе с хорошими политиками Selinux root не сможет многое сделать в системе.

Более поздние версии Android поддерживают Selinux именно по этой причине.