Cos'è#
systemd è il init system e il gestore dei servizi (Service Manager) standard per la maggior parte delle distribuzioni Linux moderne (Ubuntu, Kali, Debian). È il primo processo che viene avviato dal Kernel (PID 1) e ha il compito di "tirare su" tutto il resto del sistema.
Come funziona#
Funziona come un supervisore centrale: gestisce l'avvio, l'arresto e lo stato di unità (Unit) come servizi (.service), punti di montaggio (.mount) o socket (.socket).
[DIAGRAMMA ASCII - Architettura di controllo]
[ UTENTE ]
│
[ systemctl ] <─── (Il Client/Telecomando che invia comandi)
│
▼
[ systemd ] <─── (Il Motore/Service Manager - PID 1)
│
├─ Gestisce l'ordine di avvio
├─ Monitora i crash
└─ Legge le configurazioni in /lib/systemd/system/
│
┌─────┼─────┬───────────────┐
▼ ▼ ▼ ▼
[ssh] [cron] [wazuh] [altri servizi...]Perché è importante per Blue Team#
- Persistenza: Gli attaccanti spesso creano file
.servicepersonalizzati insystemdper far ripartire il loro malware ad ogni boot. - Visibilità: Grazie alla stretta integrazione con
journalctl,systemdregistra esattamente quando un servizio è partito, si è fermato o è crashato. - Hardening: Permette di isolare i servizi (Sandboxing) limitando quali cartelle o risorse di rete possono vedere.
Differenza Chiave#
- systemd: È il processo demone che "fa il lavoro" in background.
- systemctl: È l'interfaccia a riga di comando che noi usiamo per parlare con
systemd.
Dove l'ho incontrato#
- progetto-lab-vm — Configurazione del laboratorio dove
systemdgestisce l'accesso SSH e i driver di virtualizzazione.
Note personali#
systemdè potentissimo perché gestisce le dipendenze: sa che non può avviaresshse la rete non è ancora pronta. Se un servizio èenabled, èsystemdche si occupa di caricarlo al boot.
Collegato a#
- system — categoria
- systemctl — lo strumento per controllarlo
- journald — il sistema di logging di systemd
- linux-filesystem-hierarchy — per la posizione dei file unit (
/etc/systemd/vs/lib/systemd/)
