Программирование для Linux. Профессиональный подход, Самьюэл Алекс

Программирование для Linux. Профессиональный подход

на обложку

Самьюэл Алекс

Шрифт:

В данной ситуации на помощь приходит sticky-бит. Поскольку для каталога

/tmp

он установлен, никто не сможет удалить файлы из этого каталога, не будучи их владельцем. Естественно, пользователю

root

разрешено делать все что угодно, но если хакер сумел получить привилегии суперпользователя, вас уже ничто не спасет.

Грамотный системный администратор не допустит, чтобы каталог

/tmp

был смонтирован через NFS, поэтому на практике можно пользоваться функцией

mkstemp

. Если же речь идет о другом каталоге, то нельзя ни доверять флагу

O_EXCL

, ни рассчитывать на установку sticky-бита.

10.6.3. Функции system и popen

Третья распространенная проблема безопасности, о которой должен помнить каждый программист, заключается в несанкционированном запуске программ через интерпретатор команд. В качестве наглядной демонстрации рассмотрим сервер словарей. Серверная программа ожидает поступления запросов через Internet. Клиент посылает слово, а сервер сообщает, является ли оно корректным словом английского языка. В любой Linux-системе имеется файл

/usr/dict/words

, в котором содержится список 45000 слов, поэтому серверу достаточно выполнить такую команду:

% grep -х слово /usr/dict/words

Код завершения команды

grep

сообщит о том, обнаружено ли указанное слово в файле

/usr/dict/words

В листинге 10.6 показан пример реализации поискового модуля сервера.

Листинг 10.6. (grep-dictionary.c) Поиск слова в словаре

#include <stdio.h>

#include <stdlib.h>

/* Функция возвращает ненулевое значение, если аргумент WORD

встречается в файле /usr/dict/words. */

int grep_for_word(const char* word) {

size_t length;

char* buffer;

int exit_code;

/* Формирование строки 'grep -x WORD /usr/dict/words'.

Строка выделяется динамически во избежание

переполнения буфера. */

length =

strlen("grep -х ") + strlen(word) +

strlen(" /usr/dict/words") + 1;

buffer = (char*)malloc(length);

sprintf(buffer, "grep -x %s /usr/dict/words", word);

/* Запуск команды. */

exit_code = system(buffer);

/* Очистка буфера. */

free(buffer);

/* Если команда grep вернула значение 0, значит, слово найдено

в словаре. */

return exit_code == 0;

}

Обратите внимание на подсчет числа символов в строке и динамическое выделение буфера, что позволяет обезопасить программу от переполнения буфера. К сожалению, небезопасна сама функция

system

(описана в разделе 3.2.1, "Функция system"). Функция вызывает стандартный интерпретатор команд и принимает от него код завершения. Но что произойдет, если злоумышленник вместо слова введет показанную ниже строку?

foo /dev/null; rm -rf /

В этом случае сервер выполнит такую команду:

grep -х foo /dev/null; rm -rf / /usr/dict/words

Теперь проблема стала очевидной. Пользователь запустил одну команду, якобы grep, а на самом деле их оказалось две, так как интерпретатор считает точку с запятой разделителем команд. Первая команда — это по-прежнему безобидный вызов утилиты

grep

, зато вторая команда пытается удалить все файлы в системе. Даже если серверная программа не имеет привилегий суперпользователя, она удалит все файлы, доступные запустившему ее пользователю. Похожая проблема возникает и при использовании функции

popen

(описана в разделе 3.4.4, "Функции

popen

pclose

"), которая создает канал между родительским и дочерним процессами, но тоже вызывает интерпретатор для запуска команды.

Существуют два способа устранения подобных проблем. Первый заключается в использовании функции семейства

exec

вместо функции

system

или

popen

. Специальные символы интерпретатора команд (например, точка с запятой) не подвергаются обработке, если они присутствуют в списке аргументов функции

exec

. Естественно, при этом пропадают преимущества таких функций, как

system

popen

Второй способ — проверка строки на предмет "благонадежности". В случае сервера словарей следует убедиться в том, что слово содержит только буквы (для этого предназначена функция

isalpha

). Такое слово не представляет угрозы.

Глава 11

Демонстрационное Linux-приложение

В этой главе кусочки мозаики сложатся в единую композицию. Мы опишем и реализуем законченную Linux-программа, в которой объединятся многие рассмотренные в данной книге методики. Программа через протокол HTTP выдает информацию о системе, в которой она работает.

11.1. Обзор

Демонстрационная программа является частью пакета мониторинга Linux-системы и предоставляет следующие возможности.

■ Программа реализует минимально необходимые функции Web-сервера. Локальные и удаленные клиенты получают доступ к системной информации, запрашивая Web-страницы у сервера по протоколу HTTP.

■ Программа не работает со статическими HTML-страницами. Все страницы динамически генерируются модулями, каждый из которых вычисляет итоговую информацию о какой-либо характеристике системы.

■ Все модули подключаются к серверу динамически, загружаясь из совместно используемых библиотек. Их можно добавлять, удалять и заменять по ходу работы сервера.