Fogo na Caixa d'Água

Voltar para o blog

Avatar de DK
DKTrabalha com Linux e Unix a mais de 23 anos e possui as certificações LPI 3, RHCE, AIX e VIO.

18 dez, 2025
12 min de leitura

Você acha que sabe o que o comando ls faz? Pense de novo

Congelamos o tempo no instante em que você aperta Enter para revelar a dança complexa entre o Shell, o Kernel e o hardware. Você nunca mais olhará para o seu prompt da mesma forma

Avatar de DK
DKTrabalha com Linux e Unix a mais de 23 anos e possui as certificações LPI 3, RHCE, AIX e VIO.

18 dez, 2025
12 min de leitura

O contrato de confiança

Café na mesa. Terminal preto. Cursor piscando.

Seu dedo pressiona a tecla L. Sente o clique mecânico. Depois S. Espaço. Ponto. O polegar desce no Enter com a confiança de quem fez isso mil vezes. Uma fração de segundo depois, uma lista de arquivos aparece na tela. Simples assim.

Ou não.

A gente tem esse contrato de confiança com o computador. Digitamos comandos e confiamos que o sistema vai fazer “a coisa certa”. Não pensamos no que acontece entre o Enter e o resultado. E por que pensaríamos? Funciona. Sempre funcionou.

Mas aqui está o problema: você está confiando cegamente em abstrações. E abstrações, por mais elegantes que sejam, escondem uma orquestra inteira de processos, chamadas de sistema e conversas silenciosas entre componentes que nem sabíamos que existiam.

Vamos quebrar esse contrato. Congelar o tempo no momento exato do Enter. Olhar debaixo do capô.

O que você vai descobrir é que aqueles 0.003 segundos contêm mais drama, cooperação e engenharia do que a maioria dos programas que você já escreveu.

1. O som do teclado: Antes de tudo

Antes mesmo do Shell entrar em cena, algo mais primitivo acontece.

Cada tecla que você pressiona gera um evento. O terminal emulator (Gnome Terminal, iTerm2, Windows Terminal, qualquer um) captura esse evento e envia os bytes correspondentes para o processo do Shell. E onde está o Shell nesse momento? Dormindo. Esperando. Bloqueado numa chamada read(), aguardando pacientemente que você termine de digitar.

Mas antes dos bytes chegarem no Shell, eles passam pela line discipline do driver de TTY. É o Kernel que trata coisas como backspace, Ctrl+C (transformado em sinal SIGINT), ou Ctrl+D (que sinaliza fim de arquivo/EOF). No modo padrão, o Shell nem vê esses caracteres de controle, eles são tratados antes.

Quando você aperta Enter, o Shell acorda. Os bytes l, s, `,.,\n` chegam. E aí começa o show.

2. O shell: O porteiro desconfiado

O Shell é meio paranoico. E com razão.

Antes de executar qualquer coisa, ele precisa entender o que você quer. Parece simples, mas não é. O Shell passa por uma série de verificações:

Isso é um alias?

Olha só o que acontece na minha máquina:

$ type ls
ls is aliased to 'colorls --gs --sd -a'

$ alias ls
alias ls='colorls --gs --sd -a'

O ls que eu digito não é o ls de verdade. É um apelido. O Shell substitui ls por colorls --gs --sd -a antes de fazer qualquer outra coisa. Você pode nem saber que isso está acontecendo.

É uma função do Shell?

Talvez alguém definiu uma função ls() no .bashrc. O Shell precisa checar.

Tem expansão de variáveis?

Aquele * maroto no final do comando? O Shell expande para a lista de arquivos antes de passar adiante. O programa que vai executar nem sabe que tinha um asterisco ali.

É como chegar num balcão de informações e o atendente seguir um protocolo rígido para descobrir o que você quer, consultando várias listas internas na ordem certa, e só depois chamar o especialista.

Teste você mesmo:

$ type ls
$ alias ls

Veja o que aparece. Aposto que você tem um alias configurado que nem lembrava. Compartilha nos comentários qual foi a surpresa.

3. A caçada no labirinto: A busca no PATH

Digamos que o Shell descobriu que ls não é alias, não é função, é um comando externo. Agora ele tem um problema: não sabe onde o ls mora.

Entra em cena a variável $PATH.

$ echo $PATH | tr ':' '\n' | head -10
/home/linuxbrew/.linuxbrew/bin
/home/linuxbrew/.linuxbrew/sbin
/home/dklima/.local/bin
/home/dklima/bin
/home/dklima/node_modules/.bin
/home/dklima/go/bin
/home/dklima/RubyMine/bin
/home/dklima/bin
/usr/lib64/ccache
/usr/local/sbin

O Shell varre diretório por diretório, na ordem, procurando um executável chamado ls. Para cada diretório, ele faz uma syscall access() ou stat(), basicamente batendo na porta e perguntando: “o ls tá aí?”.

Na minha máquina, o ls real está em:

$ command -v ls
/usr/bin/ls

E que tipo de arquivo é esse?

$ file /usr/bin/ls
/usr/bin/ls: ELF 64-bit LSB pie executable, ARM aarch64, version 1 (SYSV),
dynamically linked, interpreter /lib/ld-linux-aarch64.so.1,
for GNU/Linux 3.7.0, stripped

Um executável ELF de 64 bits, dinamicamente linkado. Guarda essa informação, vai ser importante.

(Estou numa máquina ARM, o seu provavelmente dirá x86-64. A arquitetura muda, mas o conceito é o mesmo.)

Quando dá errado:

Se o Shell percorrer todo o PATH e não encontrar nada, você recebe aquele clássico:

bash: ls: command not found

Não é que o comando não existe. É que o Shell não conseguiu encontrar em nenhum dos diretórios da lista.

4. O nascimento de um processo: fork() e execve()

Aqui é onde a mágica acontece. E é mais estranho do que você imagina.

O Shell não “vira” o ls. Ele não executa o comando diretamente. Em vez disso, ele faz algo que parece saído de um filme de ficção científica: ele se clona.

fork(): A clonagem

A syscall fork() cria uma cópia idêntica do processo do Shell. Mesma memória, mesmas variáveis, mesmos descritores de arquivo. Tudo igual. Agora existem dois processos: o pai (Shell original) e o filho (clone).

(Na prática, o Linux usa Copy-on-Write: as tabelas de páginas são duplicadas, mas a memória física é compartilhada e só é realmente copiada se alguém tentar escrever nela.)

execve(): O transplante de cérebro

O processo filho então chama execve(). E aqui acontece algo radical: o código do filho é completamente substituído pelo código do binário ls. A memória é limpa. O programa é carregado. É como se o filho sofresse um transplante de cérebro, mantendo o mesmo corpo (PID, descritores de arquivo) mas com uma mente completamente nova.

Se você entender essa frase, você entendeu execve() para sempre.

Olha a primeira linha do strace:

execve("/usr/bin/ls", ["ls", "/tmp"], 0xffffd631d0f8 /* 72 vars */) = 0

O execve recebe três parâmetros:

  • O caminho do executável (/usr/bin/ls)
  • Os argumentos (["ls", "/tmp"])
  • As variáveis de ambiente (72 delas!)

Se fosse biológico, seria perturbador. Em C, é pura poesia.

wait(): O pai dorme

E o que acontece com o Shell original? Ele chama wait() e dorme. Fica bloqueado, esperando o filho terminar. É por isso que o prompt só reaparece depois que a listagem de arquivos é impressa. O pai está literalmente esperando o filho morrer.

5. O backstage: bibliotecas dinâmicas

Lembra que o file mostrou “dynamically linked”? O ls não trabalha sozinho. Ele precisa de ferramentas.

Quando o execve carrega o binário, o Dynamic Linker (ld.so) entra em cena. Ele lê o executável, descobre quais bibliotecas são necessárias, e as carrega na memória.

$ ldd /usr/bin/ls
    linux-vdso.so.1 (0x0000fa7a731b0000)
    libselinux.so.1 => /lib64/libselinux.so.1 (0x0000fa7a730e0000)
    libcap.so.2 => /lib64/libcap.so.2 (0x0000fa7a730b0000)
    libc.so.6 => /lib64/libc.so.6 (0x0000fa7a72ee0000)
    /lib/ld-linux-aarch64.so.1 (0x0000fa7a73173000)
    libpcre2-8.so.0 => /lib64/libpcre2-8.so.0 (0x0000fa7a72e20000)

Cinco bibliotecas. O ls carrega tudo isso nas costas antes de listar um único arquivo:

Biblioteca O que faz
linux-vdso.so.1 Virtual Dynamic Shared Object, otimização do kernel
libselinux.so.1 Suporte a SELinux (contextos de segurança)
libcap.so.2 Capabilities do Linux
libc.so.6 A biblioteca C padrão, o coração de quase tudo
libpcre2-8.so.0 Expressões regulares (para filtros de cores, etc.)

No strace, você vê cada biblioteca sendo aberta:

openat(AT_FDCWD, "/lib64/libselinux.so.1", O_RDONLY|O_CLOEXEC) = 3
openat(AT_FDCWD, "/lib64/libcap.so.2", O_RDONLY|O_CLOEXEC) = 3
openat(AT_FDCWD, "/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
openat(AT_FDCWD, "/lib64/libpcre2-8.so.0", O_RDONLY|O_CLOEXEC) = 3

Cada openat abre o arquivo da biblioteca, cada read lê o código, cada mmap mapeia na memória. Tudo isso antes do ls fazer o trabalho de verdade.

6. A conversa com o kernel: Syscalls

O binário está rodando. As bibliotecas estão carregadas. Agora o ls precisa fazer o que prometeu: listar os arquivos do diretório.

Mas aqui está a coisa: o ls não pode ler o disco diretamente. Seria perigoso. Caótico. Em vez disso, ele pede pro Kernel. Educadamente.

openat(): Abrindo a porta

openat(AT_FDCWD, "/tmp", O_RDONLY|O_NONBLOCK|O_CLOEXEC|O_DIRECTORY) = 3

O ls pede para abrir o diretório /tmp. O Kernel verifica permissões, encontra o inode, e retorna um file descriptor (3). Esse número é o “ticket” que o ls vai usar para todas as operações seguintes.

getdents64(): A estrela do show

#                          v 247 arquivos encontrados!
getdents64(3, 0xb7b9e9c1c3b0 /* 247 entries */, 32768) = 10160
#                                               ^ buffer de 32KB
getdents64(3, 0xb7b9e9c1c3b0 /* 0 entries */, 32768) = 0
#                          ^ acabou, não tem mais nada

Aqui está. A syscall que realmente puxa a lista de arquivos: getdents64 (Get Directory Entries, 64-bit).

O ls passa o file descriptor (3), um buffer para receber os dados, e o tamanho do buffer (32768 bytes). O Kernel vai na “despensa” (disco), pega os “ingredientes” (entradas do diretório), e entrega pro ls.

Na primeira chamada: 247 entradas, 10160 bytes de dados. Na segunda chamada: 0 entradas. Acabou.

O ls é o garçom anotando o pedido. O Kernel é o cozinheiro que realmente vai na despensa buscar os ingredientes.

A beleza da abstração

Uma coisa linda acontece aqui: o ls não sabe e não precisa saber se o sistema de arquivos é ext4, btrfs, xfs, ou qualquer outro. Ele fala uma linguagem universal (a API de syscalls), e o Kernel faz a tradução para o hardware específico.

Você pode rodar o mesmo ls num pendrive FAT32, num SSD NVMe com ext4, ou num share de rede NFS. O código é o mesmo. As syscalls são as mesmas. O Kernel cuida do resto.

7. O grand finale: Pintando a tela

O ls tem os dados. Agora precisa mostrar pro usuário.

Formatação e cores

Importante: o arquivo no disco não tem cor. Parece óbvio, mas vale dizer. Não existe um atributo “azul” no sistema de arquivos. A cor é uma alucinação consensual entre o ls e o terminal.

Se você usa ls --color=auto (ou tem um alias configurado), o ls não envia “pixels azuis” para a tela. Ele envia texto normal com sequências de escape ANSI.

Algo assim:

# "mude para azul"  "texto"      "volte ao normal"
   \x1b[34m         Documents    \x1b[0m

É o emulador de terminal (não o ls!) que interpreta esses códigos e renderiza as cores na tela. Separação de responsabilidades: o ls formata os dados, o terminal renderiza.

write(): A Saída Final

#       v fd 1 = stdout
write(1, "ssh_mux_github.com_22_git\n..."..., 4096) = 4096
#                                          ^ 4KB de dados
write(1, "c27fa8e4eb7b080c682a4f61b7d-..."..., 159) = 159
#                                           ^ últimos bytes

A syscall write() joga os bytes formatados no file descriptor 1, que é o stdout. O terminal recebe, interpreta os códigos de escape, e desenha na tela.

exit_group(): O fim

close(1)                                = 0
close(2)                                = 0
exit_group(0)                           = ?
+++ exited with 0 +++

O processo filho fecha seus descritores de arquivo e chama exit_group(0). O zero significa “sucesso, tudo certo”.

E o Shell pai, que estava dormindo no wait()? Acorda. Vê que o filho terminou com status 0. Imprime o prompt de novo. Volta a dormir num read(), esperando seu próximo comando.

O ciclo se completa.

8. Conclusão: Respeite o cursor piscante

Tudo isso aconteceu em 0.003 segundos na minha máquina.

De um read() esperando no TTY a um write() jogando bytes no stdout. Passando por parsing de aliases, busca no PATH, clonagem de processos, transplante de cérebro via execve, carregamento de cinco bibliotecas compartilhadas, conversas educadas com o Kernel via syscalls, formatação de dados, códigos de escape ANSI.

Uma orquestra inteira. Para listar arquivos.

A próxima vez que você abrir o terminal e digitar ls, talvez pause por um milissegundo. Não para agradecer (computadores não ligam pra gratidão), mas para lembrar que aquele cursor piscante é a ponta de um iceberg de engenharia que levou décadas para ser construído.

E se você quiser ver essa loucura acontecendo ao vivo:

$ strace -o ls_trace.txt ls -la /
$ less ls_trace.txt

A “cena do crime” estará lá. Cada syscall. Cada biblioteca. Cada conversa com o Kernel. A prova de que não inventamos nada.

E você? Qual foi o alias mais bizarro que encontrou na sua máquina? Conta pra gente o que apareceu.

Referência rápida: O caminho do ls

diagram_ls_fluxo


## Para ir além

- `man 2 fork` - A syscall de clonagem
- `man 2 execve` - O transplante de cérebro
- `man 2 getdents` - A estrela do show
- `man 7 path_resolution` - Como o kernel resolve caminhos
- `strace -f` - Para seguir os processos filhos também

O `ls` é um dos comandos originais do Unix V1 (1971), atribuído a Ken Thompson e Dennis Ritchie. Mais de 50 anos depois, a essência permanece a mesma. A implementação evoluiu, mas a ideia de "pedir para o sistema listar o que tem num diretório" continua sendo resolvida com as mesmas primitivas.

Algumas coisas na computação são atemporais. `fork`, `exec`, e syscalls são três delas.
Avatar de DK
DK

Posts relacionados

Comentários

Deixe um comentário

Seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Ir para