В данной ситуации на помощь приходит sticky-бит. Поскольку для каталога
/tmp
он установлен, никто не сможет удалить файлы из этого каталога, не будучи их владельцем. Естественно, пользователю
root
разрешено делать все что угодно, но если хакер сумел получить привилегии суперпользователя, вас уже ничто не спасет.
Грамотный системный администратор не допустит, чтобы каталог
/tmp
был смонтирован через NFS, поэтому на практике можно пользоваться функцией
mkstemp
. Если же речь идет о другом каталоге,
то нельзя ни доверять флагу
O_EXCL
, ни рассчитывать на установку sticky-бита.
10.6.3. Функции system и popen
Третья распространенная проблема безопасности, о которой должен помнить каждый программист, заключается в несанкционированном запуске программ через интерпретатор команд. В качестве наглядной демонстрации рассмотрим сервер словарей. Серверная программа ожидает поступления запросов через Internet. Клиент посылает слово, а сервер сообщает, является ли оно корректным словом английского языка. В любой Linux-системе имеется файл
/usr/dict/words
, в котором содержится список 45000 слов, поэтому серверу достаточно выполнить такую команду:
% grep -х слово /usr/dict/words
Код завершения команды
grep
сообщит о том, обнаружено ли указанное слово в файле
/usr/dict/words
.
В листинге 10.6 показан пример реализации поискового модуля сервера.
Листинг 10.6. (grep-dictionary.c) Поиск слова в словаре
#include <stdio.h>
#include <stdlib.h>
/* Функция возвращает ненулевое значение, если аргумент WORD
встречается в файле /usr/dict/words. */
int grep_for_word(const char* word) {
size_t length;
char* buffer;
int exit_code;
/* Формирование строки 'grep -x WORD /usr/dict/words'.
/* Если команда grep вернула значение 0, значит, слово найдено
в словаре. */
return exit_code == 0;
}
Обратите внимание на подсчет числа символов в строке и динамическое выделение буфера, что позволяет
обезопасить программу от переполнения буфера. К сожалению, небезопасна сама функция
system
(описана в разделе 3.2.1, "Функция system"). Функция вызывает стандартный интерпретатор команд и принимает от него код завершения. Но что произойдет, если злоумышленник вместо слова введет показанную ниже строку?
foo /dev/null; rm -rf /
В этом случае сервер выполнит такую команду:
grep -х foo /dev/null; rm -rf / /usr/dict/words
Теперь проблема стала очевидной. Пользователь запустил одну команду, якобы grep, а на самом деле их оказалось две, так как интерпретатор считает точку с запятой разделителем команд. Первая команда — это по-прежнему безобидный вызов утилиты
grep
, зато вторая команда пытается удалить все файлы в системе. Даже если серверная программа не имеет привилегий суперпользователя, она удалит все файлы, доступные запустившему ее пользователю. Похожая проблема возникает и при использовании функции
popen
(описана в разделе 3.4.4, "Функции
popen
и
pclose
"), которая создает канал между родительским и дочерним процессами, но тоже вызывает интерпретатор для запуска команды.
Существуют два способа устранения подобных проблем. Первый заключается в использовании функции семейства
exec
вместо функции
system
или
popen
. Специальные символы интерпретатора команд (например, точка с запятой) не подвергаются обработке, если они присутствуют в списке аргументов функции
exec
. Естественно, при этом пропадают преимущества таких функций, как
system
и
popen
.
Второй способ — проверка строки на предмет "благонадежности". В случае сервера словарей следует убедиться в том, что слово содержит только буквы (для этого предназначена функция
isalpha
). Такое слово не представляет угрозы.
Глава 11
Демонстрационное Linux-приложение
В этой главе кусочки мозаики сложатся в единую композицию. Мы опишем и реализуем законченную Linux-программа, в которой объединятся многие рассмотренные в данной книге методики. Программа через протокол HTTP выдает информацию о системе, в которой она работает.
11.1. Обзор
Демонстрационная программа является частью пакета мониторинга Linux-системы и предоставляет следующие возможности.
■ Программа реализует минимально необходимые функции Web-сервера. Локальные и удаленные клиенты получают доступ к системной информации, запрашивая Web-страницы у сервера по протоколу HTTP.
■ Программа не работает со статическими HTML-страницами. Все страницы динамически генерируются модулями, каждый из которых вычисляет итоговую информацию о какой-либо характеристике системы.
■ Все модули подключаются к серверу динамически, загружаясь из совместно используемых библиотек. Их можно добавлять, удалять и заменять по ходу работы сервера.