当前位置:  操作系统/服务器>linux

shell脚本学习指南[六](Arnold Robbins & Nelson H.F. Beebe著)

    来源: 互联网  发布时间:2014-10-16

    本文导语:  学shell到现在了,一直以为自己不会犯一个大家常说的非常二的问题,结果这本书最后的时候犯了个十分2的事,晚节不保啊!!!我在测试文件路径下除了通配符*和?外还能用啥正则那样的东西,结果就在$HOME下执行了rm .* 。...

学shell到现在了,一直以为自己不会犯一个大家常说的非常二的问题,结果这本书最后的时候犯了个十分2的事,晚节不保啊!!!我在测试文件路径下除了通配符*和?外还能用啥正则那样的东西,结果就在$HOME下执行了rm .* 。。。好吧,蛋疼了一下午!还木找回任何一个配置文件。警示后人,千万别使用rm试通配符!任何时候小心使用rm!


第十四章shell可移植性议题和扩展


可以先通读这篇文章。
想写出好的可移植性shell,不仅要了解各种shell版本间的差异,还要有很多编程技巧,比如尽量从环境变量中获取需要的信息等。

第十五章安全的shell脚本:起点


安全性shell脚本的提示:
1、不要将当前目录(点号)置于PATH下。可执行程序应该只能放在标准的系统目录下,将当前目录放在PATH里,无疑是打开特洛伊木马(Trojan Horse)的大门。
2、为bin目录设置保护。确认$PATH下的每一个目录都只有它的拥有者可以写入,其余任何人都不能。用样的道理也应该应用于bin目录里所有的程序。
3、写程序前,先想清除。花点时间想想你要做什么,该如何实行。不要一开始就在文字编辑器上写。错误与失败的优雅处理也应该设计在程序里。
4、应对所有输入参数检查其有效性。如果期待的是数字,那就验证它是数字,并且是否在要求的范围内。其他的需要也是这样检测。
5、对所有可返回错误的命令,检查错误处理代码。不在你预期内的失败情况,很可能是有问题的强迫失败,导致脚本出现不当的行为。例如,如果参数为NFS加载磁盘或面向字符的设备文件时,即便是以root的身份执行,也可能导致有些命令失败。
6、不要信任传进来的环境变量。如果它们被接下来的命令(如TZ、PATH、IFS等)使用时,请检查并重设为已知的值。无论在什么情况下,最好的方式就是明确的设置自己需要的(如PATH只包含系统bin目录,设置IFS为空格定位符和换行)。
7、从已知的地方开始。在脚本开始时,确切cd到已知目录,这么一来,接下来任何相对路径名称才能指到已知位置。确认cd操作成功:cd app-dir || exit 1
8、使用syslog(8)保留审计跟踪。记录引用的日期与时间、username等,参见logger(1)的使用手册。如果没有logger,可建立一个函数保留日志文件:

代码如下:

logger(){
printf "%sn" "$*" >> /var/adm/logsysfile
}
logger "Run by user " $(id -un) "($USER) at " $(/bin/date)

9、当使用该输入时,一定将用户输入引用起来。例如:"$1"与"$*",这么做可以防止居心不良的用户输入超出范围的计算与执行。
10、勿在用户输入上使用eval。甚至在引用用户输入之后,也不要使用eval将它交给shell再处理。如果用户读取了你的脚本,发现你使用eval,就能很轻松的利用这个脚本进行任何破坏。
11、引用通配符展开的结果。你可以将空格、分号、反斜杠等放在文件名里,让棘手的事情交给系统管理员处理。如果管理的脚本未引用文件名参数,此脚本将会造成系统的问题。
12、检查用户输入是否有meta字符。如果使用eval或$(...)里的输入,请检查是否有像$或`这类的meta字符。
13、检测你的代码,并小心谨慎阅读它。寻找是否有可被利用的漏洞与错误。把所有坏心眼的想法都考虑进去,小心研究你的代码,试着找出破坏它的方式,再修正发现的问题。
14、留意竞争条件(race condition)攻击者是不是可以在你脚本里的任两个命令之间执行任意命令,这对安全性是否有危害?如果是,换个方式处理你的脚本。
15、对符号性连接心存怀疑。在chmod文件或是编辑文件时,检查它是否真的是一个文件,而非连接到某个关键性系统文件的符号性连接(利用[ -L file ] 或 [ -h file ]检测file是否为一符号性连接。
16、找其他人重新检查你的程序,看看是否有问题。
17、尽可能用setgid而不要用setuid。这些术语稍后讨论,简之就是使用setgid能将损害范围限制在某个组内。
18、使用新的用户而不是root。如果你必须使用setuid访问一组文件,请考虑建立一个新的用户,非root的用户做这件事并设置setuid给他。
19、尽可能限制使用setuid的代码。尽可能让setuid代码减到最少。将它移到一个分开的程序,然后在大型脚本里需要时才引用它。无论如何,请做好代码防护,好像脚本可以被任何人于任何地方引用那样。
20、一个安全shell的开场白:
代码如下:

IFS=' tn' #之前几篇见过很多次
unset -f unalias #确保unalias不是一个函数
unalias -a #unset all aliases and quote unalias so it's not alias-expanded
unset -f command #确保调用的command不是以函数
#获得可靠的路径前缀,处理getconf不可用的情况。
#get a reliable path prefix,handling case where getconf is not available.
SYSPATH="$(command -p getconf PATH 2>/dev/null))"
if [[ -z "$SYSPATH" ]];then
SYSPATH="/usr/bin:/bin"
fi
PATH="$SYSPATH:$PATH"

这段代码使用了许多非POSIX的扩展,需要注意。

该书最后给出了如何编写自己的shell程序的manual,和unix的文件和文件系统的介绍。至此该书通读完毕。


    
 
 
 
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • shell脚本如何调用另外一个shell脚本的函数?
  • 急救!关于Shell脚本删除过期文件的问题,Shell脚本达人乱入
  • shell 脚本中命令别名在脚本外无法使用
  • 傻瓜问题,请问shell编程和shell脚本编程的关系
  • C语言调用shell脚本后,通过何种方法能获取脚本中变量的值
  • 想用shell脚本定时执行另一个脚本
  • 一个shell执行另一个带参数shell脚本????????????
  • 如何给shell脚本加密,脚本中有密码。最好是比较直接的,不要说让用 shc
  • Shell脚本调用Sql脚本并向其中传递变量
  • 请问,Shell中如何执行另外一个Shell脚本?
  • 如何传递参数给linux shell 脚本(当脚本从标准输入而不是从文件获取时)
  • nohup执行的shell脚本,全局变量不能传递到脚本中使用吗?
  • cd、zip等命令在shell提示符下能执行,在shell脚本中为什么不能执行呢?
  • shell脚本问题 关于父脚本和子脚本的问题
  • shell脚本错误输出
  • 请教shell脚本启动程序
  • 关于shell脚本的。
  • 关于arm linux下的别名配置脚本如何在进入用户时让shell执行的问题,如bashrc,profile,.bash_profile等脚本,寻求高手解答
  • 高分请教关于Shell脚本执行中断问题?
  • linux shell脚本
  • Centos6下安装Shell下文件上传下载rz,sz命令
  • 不同类型的shell*(K SHELL , C SHELL) 用命令怎么切换?
  • linux bash shell命令:grep文本搜索工具简介
  • 我在执行shell时,想在shell里直接向mysql数据库插入数据,我该如何写shell。
  • Linux下指定运行时加载动态库路径及shell下执行程序默认路径
  • 菜鸟问问题:shell是什么呢?普通的ls、cp、pwd这些命令算不算shell呢?如何把自己写的文件变成shell呢?
  • linux bash shell命令:文本搜索工具grep中用于egrep和 grep -E的元字符扩展集
  • shell变量和子shell的问题请教
  • linux bash shell命令:文本搜索工具Grep命令选项及实例
  • 请问“当前shell”和“子shell”的区别?
  • linux bash shell命令:文本搜索工具grep正则表达式元字符集(基本集)


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3