#
Cosa fa#
Lo standard (FHS - Filesystem Hierarchy Standard) che definisce la posizione e il contenuto delle directory principali in un sistema Linux. Tutto parte dalla "radice" rappresentata dal simbolo /.
[ / ] (Root)
│
┌─────┴─────┬─────────────┬─────────────┬─────────────┐
[/bin] [/etc] [/proc] [/var] [/home]
(Binari) (Config) (Kernel/ (Dati (Utenti)
Essenziali Testo) Processi) Variabili) │
│ └─ [/user]
┌─────┴─────┐
[/var/log] [/var/mail]
(Log di
Sistema)Nel Dettaglio#
[ / ] <-- LA RADICE (ROOT)
│ "Il punto di inizio di tutto"
│
┌──────┴──────┬─────────────┬─────────────┬─────────────┐
│ │ │ │ │
[ /bin ] [ /etc ] [ /home ] [ /var ] [ /root ]
(Binari) (Config) (Utenti) (Variabili) (Casa di Root)
│ │ │ │ │
│ │ │ │ └─ Solo l'admin
│ │ │ │ può entrare qui.
│ │ │ │
│ │ │ └─ [ /var/log ]
│ │ │ Qui il sistema scrive i
│ │ │ "diari" (log) di ciò che
│ │ │ succede.
│ │ │
│ │ └─ [ /home/mario ]
│ │ Ogni utente ha la sua "stanza"
│ │ personale qui.
│ │
│ └─ Qui ci sono i "manuali di istruzioni"
│ per i programmi (file di testo).
│
└─ Comandi base che servono
a far partire il computer
(es. ls, cp, mv).I 3 Pilastri per chi inizia:#
/etc(Editable Text Configuration): Pensa a questa cartella come alla "centrale di controllo". Se vuoi cambiare il nome del computer o impostare la password del Wi-Fi tramite file, cercherai qui dentro. ⚙️/home: È l'unica zona dove un utente normale può creare file, scaricare musica o salvare documenti senza permessi speciali./var/log: Se qualcosa non funziona, questo è il primo posto dove guardare. Contiene i registri delle attività del sistema.
[ HARDWARE ] (CPU, RAM, Disco)
│
┌──────────────────────┐
│ KERNEL │ <─── Il "Vigile" (gestisce /proc e /sys)
└──────────┬───────────┘
│
[ / ] (ROOT)
│
┌────────┼────────┬────────────────┬──────────────┐
│ │ │ │ │
[ /boot ] [ /root ] [ /usr ] [ /home ] [ /var ]
(Kernel (Casa di (Programmi (Inquilini) (Registri)
files) Root) Condivisi) │ │
│ │ │ ├─ [ /mario ] └─ [ /log ]
│ └─ [🔒] ├─ [ /bin ] └─ [ /anna ] (Qui vedi chi
│ └─ [ /lib ] (Ognuno ha ha installato
│ i suoi file) i programmi)
│ │
└─ [ /vmlinuz ] <─── Il file del └─ [🔒] (Anna non entra da Mario)
Kernel fisicoCome funziona#
Mappa delle Directory Principali#
| Directory / File | Significato Mnemotecnico | Descrizione e Contenuto Critico |
|---|---|---|
/ | Root | La radice. Tutto inizia da qui. |
/bin | Binaries | Programmi eseguibili pronti all'uso essenziali per il boot (es. ls, cat). |
/boot | Boot | Kernel Linux e configurazione del bootloader (GRUB). |
/dev | Devices | "Everything is a file": l'hardware è rappresentato qui (es. /dev/sda). |
/etc | Editable Text Configuration | File di configurazione globale del sistema in formato testo. |
/etc/passwd | Passwd Database | Database degli account utente (UID, GID, Home, Shell). |
/etc/shadow | Shadow Passwords | Contiene gli hash protetti delle password (solo root può leggerlo). |
/etc/group | Group Database | Definizione dei gruppi e dei loro membri. |
/etc/sudoers | Sudoers Club | Configura chi può agire come Root tramite il comando sudo. |
/home | Home | Directory personali ("stanze") degli utenti comuni. |
/lib | Libraries | Librerie condivise (DLL di Linux) per i binari di sistema. |
/media | Media | Mount automatico per USB, CD-ROM e media rimovibili. |
/mnt | Mount | Punto di mount manuale usato dagli amministratori. |
/opt | Optional | Software commerciale o pacchetti installati manualmente. |
/proc | Processes | File system virtuale con info su Kernel e processi (es. /proc/cpuinfo). |
/root | Root Home | La "stanza" privata dell'amministratore (UID 0). |
/run | Runtime | Dati volatili di esecuzione (socket, PID) memorizzati in RAM. |
/sbin | System Binaries | Comandi vitali riservati al superuser (es. fdisk, iptables). |
/sys | System | Interfaccia moderna per info su hardware, driver e kernel. |
/tmp | Temporary | File temporanei; spesso svuotata al riavvio. |
/usr | User System Resources | Risorse di sistema per l'utente (programmi, documentazione). |
/usr/bin | User Binaries | Binari dei programmi installati dalla distribuzione (es. nmap). |
/var | Variable | Dati che variano nel tempo (database, code di stampa, mail). |
/var/log | Variable Log | "Scatola nera" del sistema: registra ogni attività e errore. |
Perché è importante per Blue Team#
La conoscenza della gerarchia è la base per il Threat Hunting:
- Analisi Log: Identificare immediatamente
/var/log/auth.logper tentativi di Brute Force. - Persistence Detection: Monitorare directory scrivibili come
/tmpo/dev/shm(RAM disk) dove gli attaccanti spesso caricano malware per evitare il rilevamento su disco fisso. - Privilege Escalation: Verificare i permessi su file sensibili in
/etc/shadowo binari SUID in/usr/bin.
Dove l'ho incontrato#
- bandit-00 — navigazione base e scoperta della posizione dei file.
- junior-security-analyst-intro — introduzione alla struttura dei sistemi operativi.
Scenario Reale#
Durante l'analisi di un server compromesso, noti una connessione di rete sospetta. Controllando in /proc/[PID]/exe (dove [PID] è l'ID del processo sospetto), riesci a trovare il percorso reale del binario malevolo, scoprendo che l'attaccante lo aveva nascosto rinominandolo come un file di sistema in /tmp/.hidden_malware.
Collegato a#
- system — categoria
- file — categoria
- permissions — per la gestione degli accessi alle directory
- log — riferimento a
/var/log
