Shell 脚本和安全性

Question

TLDP 的高级 Bash 脚本指南指出，shell 脚本不应用于“安全性很重要的情况”需要保证系统的完整性并防止入侵、破解和破坏。”

是什么让 shell 脚本不适合这样的用例？

Answer 1

由于 shell 的可塑性，很难验证 shell 脚本是否执行了其预期功能，并且在面对对抗性输入时仅执行该功能。 shell 的行为方式取决于环境以及其自身的众多配置变量的设置。每个命令行都经过多个级别的扩展、评估和插值。某些 shell 结构在子进程中运行，而该结构包含的变量在父进程中扩展。在设计可能受到攻击的系统时，所有这些都违背了 KISS 原则。

Answer 2

可能是因为很容易搞砸。当 PATH 设置不正确时，您的脚本将开始执行错误的命令。在字符串中的某个位置放置空格可能会导致它稍后变成两个字符串。这些可能会导致可利用的安全漏洞。简而言之：shell 为您的脚本行为提供了一些保证，但对于真正安全的编程来说，它们太弱或太复杂。

（对此，我想补充一点，安全编程本身就是一门艺术，任何语言都可能搞砸。）

Answer 3

我不同意这种说法，因为脚本本身并不安全。如果遵循一些简单的准则，Bash 脚本是完全安全的：

• 脚本是否包含其他人不应查看的信息？
  如果是这样，请确保只有所有者才能读取它。
• 该脚本是否依赖于来自某个地方的输入数据？如果是这样，请确保输入数据
  不能以任何方式被污染，或者可以检测到被污染的数据
  并被丢弃。
• 如果其他人尝试运行该系统是否重要？
  脚本？如果是这样，与第一点一样，确保没有人可以执行它，并且最好不要从中读取。对于执行系统功能的脚本来说，chmod 0700 通常是个好主意。
• 您希望脚本具有 setuid（通过其解释器）的情况是
  极其罕见

将脚本与已编译程序分开的两点是源代码是可见的，并且解释器会执行它。只要解释器​​没有受到损害（例如有 setuid 位），就没有问题。

当编写脚本来执行系统任务时，拼写错误、搞砸以及编写脚本时的一般人为错误确实在某种程度上代表了潜在的安全故障，但编译后的程序也会出现这种情况（很多人倾向于忽略这样一个事实：编译的程序也可以反汇编）

值得注意的是，在大多数（如果不是全部）Linux 风格中，大多数（如果不是全部，事实上，想不出任何不是）服务都是通过 shellscript 启动的。

Answer 4

• 坏孩子更容易让 shell 脚本以不同的方式工作（它与其他进程、路径、shell 函数、prifile 进行大量交互），
• 而好孩子则更难处理敏感数据（传递密码等）