Майкл Джонсон - Разработка приложений в среде Linux. Второе издание
- Название:Разработка приложений в среде Linux. Второе издание
- Автор:
- Жанр:
- Издательство:Вильямс
- Год:2007
- Город:Москва
- ISBN:978-5-8459-1143-8
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Майкл Джонсон - Разработка приложений в среде Linux. Второе издание краткое содержание
Книга известных профессионалов в области разработки коммерческих приложений в Linux представляет собой отличный справочник для широкого круга программистов в Linux, а также тех разработчиков на языке С, которые перешли в среду Linux из других операционных систем. Подробно рассматриваются концепции, лежащие в основе процесса создания системных приложений, а также разнообразные доступные инструменты и библиотеки. Среди рассматриваемых в книге вопросов можно выделить анализ особенностей применения лицензий GNU, использование свободно распространяемых компиляторов и библиотек, системное программирование для Linux, а также написание и отладка собственных переносимых библиотек. Изобилие хорошо документированных примеров кода помогает лучше усвоить особенности программирования в Linux.
Книга рассчитана на разработчиков разной квалификации, а также может быть полезна для студентов и преподавателей соответствующих специальностей.
Разработка приложений в среде Linux. Второе издание - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
Каждую строку, передаваемую в оболочку, необходимо очень тщательно проверять на достоверность. К примеру, символ '\n'или ;, вставленный в строку, может привести к тому, что оболочка примет две команды вместо одной. Если строка содержит символы `или последовательность $(), оболочка запускает другую программу для построения аргумента командной строки. Может также иметь место обычное расширение оболочки, при этом переменные окружения и универсализация файловых имен становятся доступными для взломщиков. Переменная IFSпозволяет указать символы (отличные от пробела и табуляции) для разделения полей при анализе командных строк при помощи символов, тем самым, открывая новые бреши для атак. Другие специальные символы, такие как <, >и |, предоставляют еще больший простор для построения командных строк, которые ведут себя не так, как подразумевает программа.
Очень трудно выполнить полную проверку всех этих возможностей. Наилучшим способом предотвращения всех возможных атак против командной оболочки служит в первую очередь уклонение от ее запуска. Функции вроде pipe(), fork(), exec()и glob()позволяют достаточно легко выполнять большинство тех задач, для которых обычно используется оболочка. При этом проблемы расширения командной строки оболочки не возникают.
22.3.5. Создание временных файлов
Довольно часто в программах применяются временные файлы. Система Linux даже предусматривает для этой цели особые каталоги ( /tmpи /var/tmp). К сожалению, использование временных файлов в безопасном режиме — дело очень ненадежное. Лучшим решением будет создание временных файлов в каталоге, который доступен только через эффективный uid программы. Неплохим выбором, например, может стать домашний каталог данного пользователя. При таком подходе употребление временных файлов становится простым и безопасным. Однако большинство программистов не любят этот способ, так как он загромождает каталоги, причем вполне возможно, что эти файлы никогда не будут удалены, если программа неожиданно выйдет из строя.
Давайте представим программу, активизированную пользователем root, которая создает основной сценарий во временном файле и затем запускает его. Для разрешения одновременного запуска нескольких экземпляров программы, возможно, сценарий включает программный идентификатор как часть имени файла и создает файл со следующим кодом:
char fn[200];
int fd;
sprintf(fn, "/tmp/myprogram.%d", getpid());
fd = open(fn, O_CREAT | O_RDWR | O_TRUNC, 0600);
Программа создает уникальное имя файла и усекает любой существующий файл с таким именем перед записью в него. Хотя на первый взгляд этот способ может показаться рациональным, фактически им легко воспользоваться для атак. Если файл, который программа пытается создать, уже существует как символическая ссылка, то открытый запрос следует по такой ссылке и открывает произвольный указываемый файл. Первым примером эксплуатации в такой ситуации является создание символических ссылок в /tmpс использованием многих (или всех) возможных программных идентификаторов, указывающих на файл типа /etc/passwd. При запуске данной программы это приводит к перезаписыванию системного файла паролей, результатом чего становится атака отказа в обслуживании.
Еще более опасной является атака, при которой символические ссылки указывают на собственный файл взломщика (или когда в /tmpсоздаются нормальные файлы со всеми возможными именами). При открытии файла целевой файл искажается, но во временной промежуток между открытием файла и выполнением программы атакующий (который все еще владеет файлом) может записать в него все, что угодно (добавление строки типа chmod u+s /bin/shопределенно будет полезным в основном сценарии, работающим как root!). Может показаться трудным точно угадать время, однако, режимы состязаний такого типа часто эксплуатируются, подвергая риску безопасность программы. Если программа была setuid, а не запущенная как root, то эксплуатация фактически становится еще легче, так как пользователь может передать SIGSTOPв программу сразу после открытия файла, а затем после эксплуатации этого режима состязаний послать SIGCONT.
Добавление O_EXCLв вызов open()мешает open()открывать файл, который является символической ссылкой, а также уже существующий файл. В данном случае также есть возможность простой атаки отказа в обслуживании, поскольку код выйдет из строя, если первое испробованное имя файла уже существует. Это легко исправить, разместив open()в цикле, испытывающем различные имена файлов до тех пор, пока одно из них не подойдет.
Самым лучшим способом создания временных файлов является применение библиотечной функции mkstemp()интерфейса POSIX, которая гарантирует, что файл создается соответствующим образом [164] Существует еще несколько библиотечных функций, имеющих дело с временными файлами, такие как tmpnam() , tempnam() , mktemp() и tmpfile() . К сожалению, их применение приносит небольшую пользу, поскольку они могут привести к возникновению состязаний в программах, которые невнимательно реализованы.
.
int mkstemp(char * template);
Параметр template— это имя файла, в котором последние шесть символов должны выглядеть как "XXXXXX". Последняя часть заменяется номером, который позволяет имени файла стать уникальным в данной файловой системе. Такой подход предоставляет функции mkstemp()возможность испытывать различные имена файлов до тех пор, пока одно из них не подойдет. Параметр templateобновляется тем именем файла, которое использовалось (позволяя программе удалить файл), также возвращается файловый дескриптор, ссылающийся на временный файл. Если функция прерывает свою работу, возвращается значение -1.
В более старых версиях библиотеки С системы Linux создавался файл с режимом 0666 (общедоступное чтение/запись) и в зависимости от umask программы приобретались соответствующие права на файл. В более новых версиях читать и записывать в файл разрешено только текущему пользователю, но поскольку POSIX не определяет такое поведение, неплохо явно установить umask процесса (077 — хороший выбор!) до вызова mkstemp().
Система Linux и некоторые другие операционные системы предлагают функцию mkdtemp()для создания временных каталогов.
char * mkdtemp(char * template);
Параметр templateработает так же, как и для mkstemp(), за исключением того, что функция возвращает указатель на templateпри успешном завершении работы и NULLв случае неудачи.
Многие операционные системы, поддерживающие mkdtemp(), также предоставляют программу mktemp, которая позволяет основным сценариям создавать временные файлы и каталоги в безопасном режиме.
Интервал:
Закладка:
