За запуск в определённое время, а также за периодический запуск пользовательских процессов отвечают две службы: cron и at (они могут иметь свойственные демонам имена crond и atd).
Демон crond запускается во время начальной загрузки системы и остается в активном состоянии до ее выключения (если администратор его принудительно не завершит). Эта относительно простая программа-демон, как и другие демоны, проводит свободное время в состоянии «спячки», ежеминутно «просыпаясь» для чтения файлов заданий. Если задание на данную минуту имеется, демон «вырезает» из соответствующей строки запланированную команду/программу или последовательность команд/программ с параметрами либо без них и передает всё это для исполнения командному интерпретатору. Затем он снова «засыпает».
Служба crond обычно используется для периодического уничтожения старых журналов аудита, чистки файловой системы и прочих подобных потребностей.
Для управления демоном crond (точнее – его «озадачивания») предусмотрена отдельная утилита, именуемая crontab. Она запускается пользователем из командной строки, и ей можно передать один из трех ключей (если команду запускает суперпользователь, то в качестве параметра команды он может указать имя учетной записи пользователя, в этом случае действия будут выполняться над файлом заданий пользователя):
–l– вывести содержимое файла заданий;
–e– отредактировать файл с заданиями;
–r– удалить файл с заданиями.
Каждое задание в файле заданий представляет собой текстовую строку (как обычно, строка, начинающаяся символом #,является комментарием и демоном не исполняется), в которой записано пять временных отметок, определяющих время и/или периодичность исполнения команды: минуты, часы, дни месяца, порядковые номера месяца, дни недели и сама команда/последовательность команд либо программа/последовательность программ с параметрами или без них. Итого в строке шесть полей, разделенных пробелами:
минуты часы день месяц день_недели команда,
причем в поле команда пробелы выполняют свою обычную роль разделителя аргументов. Команду следует вводить с указанием полного пути к программному файлу.
Временные параметры задаются числами, которые должны соответствовать своему диапазону:
минуты – от 0 до 59
часы – от 0 до 23
день – от 1 до 31
месяц – от 1 до 12
день_недели – от 0 до 6 (0 – воскресенье)
Символом-джокером * обозначается любое число. Для указания диапазонов могут использоваться дефисы и запятые. Вот некоторые примеры задания временных параметров в файле crontab
*
*
*
*
*
каждую минуту
*
*
*
*
через 10 минут после начала каждого часа
*/6
*
*
*
*
через каждые 10 минут
*
*
*
каждый день в 12:20
9, 21
*
*
в 9:15 и в 21:15 каждый седьмой день месяца
8-12
*
в 21:30 с восьмого по двенадцатое апреля
*
*
по воскресеньям в 00:10
Файлы заданий хранятся в каталогах /var/spool/cron/tabs. Каталог содержит по одному файлу на каждого из пользователей (если использование планировщика заданий им не запрещено) в случае, если пользователь создал задание. Эти файлы не появляются автоматически при регистрации нового пользователя. Они создаются при первом обращении пользователя к службе crond.
Имя crontab-файла совпадает с учетным именем пользователя. Поэтому задание, найденное, например, в файле ivanov, позволяет демону передать команду на исполнение соответствующему экземпляру оболочки. По имени файла производится поиск строки в файле /etc/passwd, из неё выбираются UID, GID и всё необходимое для создания процесса. При выполнении задания демон crond не делает отметки в crontab-файле, поэтому невыполненные задания с истекшим сроком повторно не выполняются. Демон не удаляет из файлов выполненные задания, он только читает файл заданий, и имеющиеся в нем строки при определенных обстоятельствах могут служить доказательством противоправного деяния.
В каталоге /etcдолжен существовать файл cron.deny, в котором построчно перечисляются учетные имена пользователей, которым пользование планировщиком cron запрещено. По умолчанию в нем перечислены имена псевдопользователей, случайным обладателем которых может стать злоумышленник. Для того чтобы разрешить отдельным пользователям планирование заданий, администратор должен создать в этом же каталоге другой файл cron.allow, в который построчно можно записать нужные учетные имена.
Если файл cron.deny существует, а файл cron.allow не создан, право запуска crontab имеют все пользователи, кроме тех, кому это явно не разрешено (в файле cron.deny). Вопреки правилу информационной безопасности «должно быть запрещено все, что явно не разрешено», записи в «разрешительный» файл имеют приоритет. Так, если один и тот же пользователь по невнимательности администратора оказался записан в оба файла, разрешение на команду crontab ему будет обеспечено. Парадоксальное решение – чтобы запретить всем пользователям (включая администратора!) запуск планировщика задач, необходимо в указанном каталоге создать пустой файл cron.allow. Если ни одного из двух указанных файлов не существует, пользоваться планировщиком заданий может только администратор.
Учитывая несомненную опасность доступа обычных пользователей к этим файлам, не вызывают сомнения запрещения их доступа к каталогам /var/spool/cron и /var/spool/cron/tabs. Право читать и редактировать эти файлы «вручную» имеет только администратор. Для того чтобы пользователи имели кратковременное право на запись в эти файлы, утилита crontab имеет установленный бит SUID.
В ОС Linux для неинтерактивного выполнения задач (команд, программ, последовательности команд, последовательности программ или их сочетания) используется специальный демон atd, так называемый диспетчер очередей задач.
Разновидностью неинтерактивного однократного запуска команд является формирование из них задания и постановка его на выполнение в определённое время. Реализуется это при помощи команды at. Формат команды выглядит так:
