A distro é Ubuntu 22.04 e estou executando um ext4sistema de arquivos recém-criado para o qual copiei minha configuração (usando rsync em uma máquina diferente). Eu estava executando um teste de desempenho de sistema de arquivos escrito manualmente (python), que funcionou normalmente em máquinas diferentes. Absolutamente acidentalmente, descobri algum tipo de comportamento incorreto em wc(ou ls) que se manifesta apenas para um arquivo específico no meu sistema - até onde descobri agora - /usr/bin/pkexec. Se isso estiver relacionado, a caixa está executando a versão oficial do coreutils do Ubuntu 8.32-4.
Este é um exemplo da ação que estou falando para qualquer arquivo diferente:
$ ls -l /usr/bin/top
-rwxr-xr-x 1 root root 379389 Jun 11 12:04 /usr/bin/top
$ cat /usr/bin/top | wc -c
379389
$
Observe o tamanho mostrado por ls e wc. É o mesmo.
Agora, há um arquivo /usr/bin/pkexec. Que é, de acordo com a página do manual,
pkexec - Execute a command as another user
Isso acontece com ele
$ ls -l /usr/bin/pkexec
-rwsr-xr-x 1 root root 519851 Jun 11 12:04 /usr/bin/pkexec
$ cat /usr/bin/pkexec | wc -c
32145
$
O tamanho é diferente. Bem diferente.
Pensei que estivesse relacionado a alguma corrupção do sistema de arquivos, e executei o fsck no modo de recuperação. Nada mudou.
Então levei o disco para a máquina onde o rsync foi feito originalmente. (Ele está executando o Arch Linux). Montei a partição raiz do Ubuntu lá. Uau!
# ls -l /mnt/disk/usr/bin/pkexec
-rwsr-xr-x 1 root root 519851 Jun 11 12:04 /mnt/disk/usr/bin/pkexec
# cat /mnt/disk/usr/bin/pkexec | wc -c
519851
#
Aqui os tamanhos são mostrados iguais. Não entendi. Tenho uma caixa Ubuntu diferente com a mesma versão onde as informações sobre o arquivo acima são estas:
$ ls -l /usr/bin/pkexec
-rwsr-xr-x 1 root root 32145 Jul 26 14:45 /usr/bin/pkexec
$ cat /usr/bin/pkexec | wc -c
32145
$
O tamanho corresponde aqui. E vejo que o tamanho correto para este arquivo nesta versão do Ubuntu é "32145". Mas na primeira máquina vejo tamanhos que nem correspondem entre si em wce ls. Eu tinha essas explicações possivelmente
- As máquinas tinham atualizações diferentes instaladas. Mas por que os tamanhos mostrados são diferentes entre os utilitários?
- Isso é algum tipo de proteção de tempo de execução para esse
/usr/bin/pkexecarquivo binário, pois vejo que ele é SUID - talvez o SO esteja protegendo-o mostrando dados incorretos aos usuários? Mas por que esse comportamento é visto apenas em uma máquina e não nas outras?
Obrigado pela ajuda e explicações. Acho que não entendi algo importante sobre Linux.
PS O problema também existe se eu ler dir "/usr/bin" em algumas linguagens como Python, e recuperar metadados de arquivos. Então eu leio cada arquivo e verifico o comprimento do resultado. Com pkexec- em metadados é 519851 bytes. Mas se eu ler o arquivo, é muito menor - apenas 32145 bytes. Obrigado.
Acontece que o sistema estava comprometido.
Provavelmente
ld preloadfoi abusado para esconder ações maliciosas.Essas eram mensagens de inicialização que eu vi, parecia que todos os processos executavam o mesmo código:
Levei o disco para uma máquina diferente e vi que há
/etc/ld.so.preloadum arquivo existente. Não há tal arquivo na instalação de estoque do Ubuntu.Eu escolhi reinstalar o Ubuntu.