如何判断shell脚本是否安全

Question

我从 这个 shell 脚本rel="nofollow">此网站。

对于 bash 脚本来说，它大得令人怀疑。所以我用文本编辑器打开它并注意到 代码后面有很多无意义的字符。

我担心使用 chmod +x jd.sh 来正确执行脚本。您能告诉我如何识别它是否安全或如何在系统中设置它的有限权限吗？

谢谢

Answer 1

“无义字符”表示直接包含在 SH 文件中的二进制文件。该脚本将使用文件本身作为文件存档并根据需要复制/提取文件。对于 SH 安装人员来说，这并不奇怪。 （编辑：例如，makeself）

与其他软件一样，几乎不可能决定是否运行脚本是“安全”的。

Answer 2

不要运行它！该网站在我工作的地方被屏蔽，因为众所周知它会提供恶意软件。

现在，至于验证代码，如果不完全隔离它（技术上很困难，但如果没有已知漏洞，虚拟机可能会起作用）并运行它来观察它的实际作用，那么实际上是不可能的。使用第三方软件时，适当的不信任总是有用的，但当然没有人有时间验证他们运行的所有软件，甚至是其中的一小部分。这将需要数千年（更可能是数百万年）的工作时间，并且会发现足够多的错误，让开发人员再忙一千年。通常您能做的最好的事情就是仅运行由您至少在某种程度上信任的人创建或至少推荐的软件。信任必须根据您自己的标准来确定，但这里有一些对我来说对软件有利的因素：

• 主要操作系统/发行版的一部分。这意味着一些较大的组织已决定信任它。
• 源代码是公开的。至少任何由公司政策引起的恶意软件（参见索尼 CD 灾难）都有更大的机会被发现。
• 源代码分布在适当的平台上。像 GitHub 这样的网站使您能够衡量软件的受欢迎程度并跟踪它发生的情况，而没有任何评论功能、版本控制或错误数据库的随机网站是保存有用代码的糟糕地方。

Answer 3

虽然脚本的来源似乎不值得信赖（IP 地址？），但这个可能仍然是合法的。使用 shell 脚本，可以在末尾附加二进制内容，从而构建一种安装程序。几年前，Sun 就以这种形式发布了 Solaris 的 JDK。但我不知道情况是否仍然如此。

如果你想无风险地测试它，我会在 VirtualBox（免费虚拟机软件）中安装 Linux，在那里运行脚本，看看它会做什么。

附录看看它的作用：UNIX 上有多种工具可用于分析二进制程序，例如 strace、ptrace、ltrace。可能还有趣的是使用 chroot 运行脚本。这样您就可以轻松找到已安装的所有文件。

但最终这可能会产生更多不易检查的二进制文件（任何防病毒软件开发人员可能都会告诉您）。因此，如果您根本不信任源，请不要运行它。或者，如果您必须运行它，请在虚拟机中执行它，至少它不会造成太大损坏或访问您的任何数据。