Apa perbedaan antara / tmp dan / run?

Menurut FHS-3.0 , /tmpuntuk file sementara dan /rununtuk data variabel run-time. Data masuk /runharus dihapus pada boot berikutnya, yang tidak diperlukan /tmp, tetapi program tetap tidak boleh berasumsi bahwa data masuk /tmpakan tersedia pada awal program berikutnya. Semua ini tampaknya sangat mirip dengan saya.

Jadi, apa perbedaan keduanya? Kriteria mana yang harus diputuskan oleh suatu program untuk memasukkan data sementara ke dalam /tmpatau ke dalam /run?

Menurut FHS:

Program mungkin memiliki subdirektori dari /run; ini dianjurkan untuk program yang menggunakan lebih dari satu file run-time.

Ini menunjukkan bahwa perbedaan antara "program sistem" dan "program biasa" bukan kriteria, juga tidak seumur hidup program (seperti, proses jangka panjang vs proses jangka pendek).

Meskipun alasan berikut tidak diberikan dalam FHS, /rundiperkenalkan untuk mengatasi masalah yang /vardipasang terlambat sehingga trik kotor diperlukan untuk menyediakan /var/runcukup awal. Namun, sekarang dengan /rundiperkenalkan, dan diberikan uraiannya di FHS, tampaknya tidak ada alasan yang jelas untuk memiliki keduanya /rundan /tmp.

Tidak ada alasan untuk memiliki keduanya / run dan / tmp

Saya pikir kamu benar. /tmppada dasarnya sudah usang sekarang /run. Jika program Anda berada dalam posisi untuk melakukannya (yang mengharuskannya diinstal sebagai operasi istimewa), maka saat ini Anda akan menggunakan subdirektori dari /run. Ini untuk alasan keamanan.

Misalnya daemon pencetakan CUPS tidak berjalan sebagai root, tetapi umumnya diinstal dari paket OS. Paket menginstal /usr/lib/tmpfiles.d/cups.conf, dan systemd-tmpfilesmembuat direktori yang dapat diakses. Karena direktori berada di bawah /run, nama tersebut tidak dapat diklaim secara jahat oleh pengguna yang tidak berhak, tidak seperti /tmpyang dapat ditulis oleh dunia.

"Program tidak terjangkau" yang tidak dapat digunakan /runsecara langsung

Perbedaan sebenarnya adalah jika program Anda dijalankan oleh pengguna yang tidak memiliki hak sewenang-wenang, di bawah ID pengguna mereka sendiri. Tetapi Anda umumnya masih tidak ingin menggunakan /tmp, karena itu dapat diakses oleh pengguna yang tidak terjangkau lainnya. Anda lebih suka menggunakan $XDG_RUNTIME_DIR. Biasanya ini diimplementasikan sebagai /run/user/$(id -u)- sehingga kebetulan juga merupakan subdirektori /run. Lokasi tidak dijamin; program harus selalu menggunakan variabel lingkungan.

/tmphanya akan berguna untuk kerjasama ad-hoc antara berbagai pengguna yang tidak terjangkau pada sistem. Sistem ad-hoc seperti itu rentan terhadap pengguna jahat yang menolak untuk bekerja sama dan merusak hal-hal untuk semua orang :). Salah satu contohnya adalah pengguna yang tidak berhak memutuskan untuk menjalankan versi talkdaemon, menggunakan soket unix.

Informasi asli dari Lennart Poettering

Catatan, daftar periksa Poettering di bawah ini menyatakan bahwa /tmpakan berguna untuk "file kecil", sedangkan /runseharusnya hanya digunakan untuk "komunikasi primitif". Saya pikir perbedaan ini juga tidak benar. Untuk poster-boy /runadalah udev, dan saya cukup yakin /run/udevmenyertakan database internal. Setelah Anda memiliki /rundirektori, saya tidak berpikir ada orang yang ingin mengikuti perbedaan yang diklaim dan membuat direktori lain , menjadi berantakan /tmp. Jadi dalam praktiknya kami hanya menggunakan /runsaat ini.

Penggunaan ruang nama bersama yang dapat ditulisi dunia [seperti / tmp] untuk tujuan komunikasi selalu bermasalah, karena untuk membangun komunikasi Anda memerlukan nama yang stabil, tetapi nama yang stabil membuka pintu untuk serangan DoS. Ini dapat diperbaiki sebagian, dengan membuat direktori per aplikasi yang dilindungi untuk layanan tertentu selama boot awal (seperti yang kami lakukan untuk X11), tetapi ini hanya memperbaiki masalah sebagian, karena ini hanya berfungsi dengan benar jika setiap instalasi paket diikuti dengan reboot.

...

Fitur Fedora lain (untuk Fedora 17) mengubah semantik / tmp untuk banyak layanan sistem untuk membuatnya lebih aman, dengan mengisolasi ruang nama / tmp dari berbagai layanan

...

Karena / tmp tidak lagi perlu ruang nama bersama, biasanya tidak cocok sebagai lokasi komunikasi primitif.

...

[/ run] dijamin menjadi tmpfs dan karenanya secara otomatis memerah saat booting. Tidak ada pembersihan otomatis yang dilakukan selain itu.

...

Berikut ini panduan kasar bagaimana kami menyarankan Anda (pengembang aplikasi Linux) memilih direktori yang tepat untuk digunakan:

1. Anda memerlukan tempat untuk meletakkan soket (atau primitif komunikasi lainnya) dan kode Anda berjalan dengan istimewa: gunakan subdirektori di bawah / jalankan. (Atau di bawah / var / run untuk kompatibilitas ekstra.)
2. Anda memerlukan tempat untuk meletakkan soket Anda (atau primitif komunikasi lainnya) dan kode Anda berjalan tanpa hak: gunakan subdirektori di bawah $ XDG_RUNTIME_DIR.
3. Anda memerlukan tempat untuk membuat unduhan dan unduhan Anda yang lebih besar dalam proses dan menjalankan undrivileged: gunakan $ XDG_DOWNLOAD_DIR.
4. Anda memerlukan tempat untuk meletakkan file cache yang harus persisten dan dijalankan tanpa hak: gunakan $ XDG_CACHE_HOME.
5. Tidak ada satu pun dari hal di atas yang berlaku dan Anda perlu menempatkan file kecil yang tidak membutuhkan persistensi: gunakan $ TMPDIR dengan fallback on / tmp. Dan gunakan mkstemp (), dan mkdtemp () dan tidak ada homegrown.
6. Kalau tidak gunakan $ TMPDIR dengan fallback pada / var / tmp. Juga gunakan mkstemp () / mkdtemp ().

Perhatikan bahwa aturan di atas hanya disarankan oleh kami. Aturan-aturan ini memperhitungkan semua yang kita ketahui tentang topik ini dan menghindari masalah dengan distribusi saat ini dan masa depan, sejauh yang kita bisa melihatnya. Harap pertimbangkan untuk memperbarui proyek Anda untuk mengikuti aturan ini, dan ingatlah jika Anda menulis kode baru.

Satu hal yang kami ingin tekankan adalah bahwa / tmp dan / var / tmp lebih sering daripada tidak sebenarnya bukan pilihan yang tepat untuk usecase Anda. Ada kegunaan direktori ini yang valid, tetapi seringkali direktori lain mungkin merupakan tempat yang lebih baik. Jadi, berhati-hatilah, pertimbangkan opsi lain, tetapi jika Anda menggunakan / tmp atau / var / tmp maka setidaknya pastikan untuk menggunakan mkstemp () / mkdtemp ().

Kami agak lolos dengan legacy /tmpsocket yang digunakan oleh sistem X window, seperti dijelaskan di atas. Saya salah membaca tmpfiles.d/x11.conf. Sepertinya lebih bergantung pada kerjasama :). Saya menganggap kode itu sudah diaudit, sehingga penolakan layanan adalah yang terburuk yang bisa terjadi.

Direktori /tmpdan /usr/tmp(nanti /var/tmp) dulunya adalah tempat pembuangan segala sesuatu dan semua orang. Satu-satunya mekanisme perlindungan untuk file dalam direktori ini adalah bit sticky yang membatasi penghapusan atau penggantian nama file di sana untuk pemiliknya. Seperti yang ditunjukkan marcelm dalam komentar, pada prinsipnya tidak ada yang mencegah seseorang membuat file dengan nama yang digunakan oleh layanan (seperti nginx.pidatau sshd.pid). (Dalam praktiknya, skrip startup dapat menghapus file palsu seperti itu terlebih dahulu.)

/rundidirikan untuk data runtime non-persisten layanan berumur panjang seperti kunci, soket, file pid dan sejenisnya. Karena tidak dapat ditulisi untuk umum, ia melindungi data runtime layanan dari kekacauan /tmpdan pekerjaan yang membersihkan di sana. Memang: Dua distribusi yang saya jalankan (tidak ada permainan yang dimaksudkan) memiliki izin 755 pada /run, sementara /tmpdan /var/tmp(dan /dev/shmdalam hal ini) memiliki izin 1777.

/tmpadalah lokasi untuk pembuatan file dan direktori sementara. Ini tidak dapat digunakan untuk menyimpan "nama-nama terkenal" (yaitu nama-nama proses lain dapat disadari tanpa Anda harus menyampaikan nama itu entah bagaimana) karena tidak ada yang memiliki kepemilikan atas namespace; siapa pun dapat membuat file di sana. Dengan demikian Anda biasanya menggunakannya ketika Anda memiliki utilitas yang memerlukan file (yaitu bukan pipa atau semacamnya) sebagai input atau output, di mana nama (dibuat secara acak) akan bekerja selama Anda memasukkan nama.

Secara historis, beberapa hal (seperti X) melanggar prinsip ini dan memasukkan nama-nama terkenal (seperti .X11-unix) ke dalam /tmp. Ini tentu saja buggy dan memungkinkan setiap pengguna untuk melakukan layanan yang perlu melakukannya hanya dengan berlomba untuk membuat file dengan nama yang diinginkan terlebih dahulu. Hal-hal seperti itu termasuk di bawah /run(atau yang setara /var/runjika Anda tidak berlangganan revisionisme Freedesktop.org). Tentu saja yang lebih baik adalah memperbaikinya untuk tidak menggunakan nama-nama terkenal di namespace global tetapi sebaliknya memberikan pathname.

Menurut Standar Hierarki Filesystem,

• /run adalah untuk data variabel runtime yaitu informasi tentang sistem yang berjalan sejak reboot
• /tmp adalah tempat umum untuk file sementara.

Jadi segala sesuatu yang berkaitan dengan status daemon, pengguna yang masuk, perangkat yang dapat dilepas, dll. Akan masuk /runsementara file sementara yang dibuat oleh suatu program akan dimasukkan /tmp.

Sunting: seperti yang ditunjukkan oleh @JdeBP dalam komentar di bawah,

FHS memungkinkan untuk hal-hal seperti pengaturan konvensional pekerjaan cron yang secara teratur membersihkan /tmpfile "lama"; tanpa mekanisme yang dimaksudkan untuk itu /run. Oleh karena itu batas kejam pada program apa yang bisa diharapkan dari masa pakai apa pun dimasukkan /tmp. Sementara program dapat mengharapkan file untuk hidup lebih lama /runpada sistem yang terus-menerus naik, mereka juga diharapkan untuk merapikan diri mereka sendiri di sana.