|
網(wǎng)絡技術是從1990年代中期發(fā)展起來的新技術����,它把互聯(lián)網(wǎng)上分散的資源融為有機整體����,實現(xiàn)資源的全面共享和有機協(xié)作���,使人們能夠透明地使用資源的整體能力并按需獲取信息����。資源包括高性能計算機����、存儲資源、數(shù)據(jù)資源����、信息資源、知識資源�、專家資源、大型數(shù)據(jù)庫����、網(wǎng)絡�、傳感器等�。 當前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段���。 共享目錄的解決方案
不幸的是�,有很多并不是解決方案���。有一些程序只是直接調(diào)用 mktemp(3) 或 tmpnam(3) 來創(chuàng)建臨時文件����,然后基于這樣做會成功的假定去簡單地打開它�。錯誤的計劃!實際上���,線程使用 tmpnam(3) 并不可靠����,也不能可靠地處理循環(huán)���,所以永遠不要使用它����。1997 年的“Single Unix Specification”推薦使用 tmpfile(3),但不幸的是����,在一些老系統(tǒng)上實現(xiàn)它很不安全。
在 C 中����,為了在共享(sticky)目錄中安全地創(chuàng)建臨時文件���,通常的解決方案是將 umask() 值設置為一個非常受限制的值����,然后反復進行以下操作:(1)創(chuàng)建一個“隨機的”文件名�,(2)使用 O_CREAT | O_EXCL 選項 open(2) 它(這將自動創(chuàng)建文件,如果沒有創(chuàng)建該文件���,則操作失�。�,(3)當成功打開文件時停止重復步驟。
C 程序員實際上不需要直接這樣去做����;只需要調(diào)用庫函數(shù) mkstemp(3)����,就可以打開文件�。mkstemp(3) 的一些實現(xiàn)并沒有將 umask(2) 設置為一個受限的值,所以聰明的做法是先調(diào)用 umask(2) 來強制將文件設置為受限的值���。有一個小麻煩����,mkstemp(3) 不直接支持 TMP 或 TMPDIR 環(huán)境變量�,所以,如果這對您來說是重要的����,那么您必須做更多的工作。
當為了安全地打開臨時文件而在共享(臨時)目錄中創(chuàng)建文件系統(tǒng)對象時���,GNOME 編程向導推薦您使用下面的 C 代碼:
清單 3. 推薦使用的創(chuàng)建臨時文件的 C 代碼
char *filename;
int fd;
do {
filename = tempnam (NULL, "foo");
fd = open (filename, O_CREAT | O_EXCL | O_TRUNC | O_RDWR, 0600);
free (filename);
} while (fd == -1);
注意���,盡管使用了不安全的 tempnam(3) 函數(shù),但是它被包裝在循環(huán)中���,并使用了 O_CREAT 和 O_EXCL 選項����,從而抵消了它的安全弱點,所以這樣做是可以的����。一個附帶好處是,tempnam(3) 通常使用 TMPDIR����,這使得用戶可以重定向其臨時文件,如果需要的話����。注意����,您需要 free() 文件名稱。完成使用之后����,您應該 close() 并 unlink() 文件。這種方法有一個小的缺點�,由于可能無法安全使用 tempnam,所以各種編譯器和安全掃描器可能都會向您發(fā)出使用不合邏輯的警告。使用 mkstemp(3) 就不存在這個問題���。
整個這個打開文件的方法展示出了標準的 C IO 庫的一個奇特之處:沒有標準的方法來指定 O_EXCL 選項使用 fopen()���,所以您不能以“普通的” C 方式來打開文件,并安全地創(chuàng)建臨時文件�。如果您想使用標準 C IO 庫,然后使用 open()���,那么您可以使用指定“w+b” 模式的 fdopen()�,將文件描述符轉換為一個 FILE *�。
Perl 程序員應該使用 File::Temp,它嘗試提供一個安全創(chuàng)建臨時文件的跨平臺方法���。不過���,首先要仔細閱讀如何正確使用它的文檔;它同樣有不安全的函數(shù)接口����。我建議您顯式地將 safe_level 設置為 HIGH;這樣就會調(diào)用附加的安全檢查����。對大部分編程庫來說都是如此�;大部分庫都既有安全接口�,又有不安全接口,所以您需要查閱文檔�,并確保選擇了安全的版本。
注意�,在舊版的 NFS(版本 1 或者版本 2)的目錄上使用 O_EXCL 是沒有用的,因為 NFS 的這些舊版本沒有正確地支持 O_EXCL���。如果您自己使用了 O_EXCL�,而且共享目錄是使用這些舊版 NFS 實現(xiàn)的���,那么您的程序將是不安全的����。實際上���,關于舊版 NFS 中 link(2) 和 stat(2) 的使用有一個復雜的解決方法;如果您的程序一定要在這樣的環(huán)境中工作�,那么您可以在 Linux 的 open(2)手冊頁或者其他地方閱讀關于該方法的內(nèi)容。在這里我不準備對它進行討論����,因為即使您的程序可以與舊版的 NFS 一起使用���,您所使用的很多其他程序也不會使用該解決方法。無論如何您都不可能獲得使用 NFS 版本 1 或者版本 2 的臨時目錄的安全系統(tǒng)�,因為其他程序沒有使用該解決方法,所以����,如果使用遠程掛載的臨時目錄,更明智的做法是要求使用 NFS 版本 3 或更高版本����。
您可以嘗試使用 mkdtemp(3),但這通常不是一個好主意�,因為臨時文件清除器(temp cleaners)可能會決定清除它們。
如果您正在編寫 shell 腳本�,那么可以使用管道,或者在用戶的主目錄存入臨時文件���。根本不要使用 /tmp 或 /var/tmp 目錄�;普通的 shell 通常無法支持文件描述符����,所以臨時文件清除器(tmpfile cleaners)最終將使它們失敗����。如果沒有臨時文件清除器�,而且您只是必須在 /tmp 中創(chuàng)建臨時文件,那么至少要使用 mktemp(1) 來防止更明顯的攻擊�,因為 mktemp(1)(不是 mktemp(3))將使用 O_EXCL 來防止典型的競爭條件攻擊。您可能做的最糟糕事情通常也是最令人不安的事:假定“$$”沒有被攻擊者猜出來����,并且只是將信息重定向到這類文件;那么在創(chuàng)建時就不會按要求使用 O_EXCL 模式����。攻擊者可以簡單地預創(chuàng)建類似的文件,或者反復創(chuàng)建和刪除它們�,最終接管程序。這樣���,類似的 shell 腳本幾乎肯定有一個嚴重的缺陷:
清單 4. 有缺陷的 shell 腳本
echo "This is a test" > /tmp/test$$ # DON'T DO THIS.
不要再次使用臨時文件名稱(即不要刪除和重新創(chuàng)建文件)����,不管您最初是如何獲得“安全的”臨時文件名稱�。攻擊者都有可能觀察到原始的文件名稱���,并在您第二次重新創(chuàng)建它時非法控制它�。當然,要始終使用合適的文件權限���。
做好自己的清理工作���,或者通過使用退出處理器,或者利用 UNIX 文件系統(tǒng)語義���,在創(chuàng)建后立即 unlink() 該文件�,以便在清除目錄條目的同時仍然可以訪問該文件����,直到指向它的最后一個文件描述符被關閉。于是���,您就可以在自己的程序中通過傳送文件描述符來訪問該文件���。對代碼維護來說,解除文件的鏈接有很多好處:不管您的程序是怎樣崩潰的���,文件都會被自動刪除����。它還降低了維護者不安全地使用文件名的可能性(改為使用文件描述符)。立即解除鏈接也有一個小問題����,即這使得管理員查看磁盤空間使用情況的難度稍有增加。
使這些對策成為操作系統(tǒng)的一部分已經(jīng)取得了一些成功����,盡管它們當前還沒有被廣為使用。要獲得更多資料����,請參閱參考資料列表中關于來自 OpenWall 項目的 Solar Designer 的 Linux 內(nèi)核補丁、RaceGuard����,以及 Eugene Tsyrklevich 和 Bennet Yee 的工作鏈接。
網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中���,正因如此����,網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上�、所用標準上......����,各項技術都需要適時應勢,對應發(fā)展����,這正是網(wǎng)絡迅速走向進步的催化劑。
|
