Как я могу безопасно убедиться, что переменная содержит только правильное имя файла?

Учитывая приведенный ниже сценарий, как я могу убедиться, что аргумент содержит только допустимое имя файла, /home/charlesingalls/а не путь ( ../home/carolineingalls/), подстановочный знак и т. Д.?

Я только хочу, чтобы скрипт мог удалить один файл из заданного жестко закодированного каталога. Этот скрипт будет запускаться как привилегированный пользователь.

#!/bin/bash

rm -f /home/charlesingalls/"$1"

Если вы хотите удалить только файл /home/charlesingalls(а не файл в подкаталоге), тогда это просто: просто убедитесь, что аргумент не содержит a /.

case "$1" in
  */*) echo 1>&2 "Refusing to remove a file in another directory"; exit 2;;
  *) rm -f /home/charlesingalls/"$1";;
esac

Это работает, rmдаже если аргумент равен .или ..или пуст, но в этом случае rmбезуспешно не удастся удалить каталог.

Подстановочные знаки здесь не имеют значения, поскольку расширение подстановочных знаков не выполняется.

Это безопасно даже при наличии символических ссылок: если файл является символической ссылкой, символическая ссылка (которая находится в /home/charlesingalls) удаляется, и цель этой ссылки не затрагивается.

Обратите внимание, что это предполагает, что /home/charlesingallsне может быть перемещен или изменен. Это должно быть хорошо, если каталог жестко запрограммирован в сценарии, но если он определен по переменным, то определение может перестать быть действительным ко времени выполнения rmкоманды.

Основываясь на дополнительной информации о том, что аргумент является именем виртуального хоста, вы должны сделать белый, а не черный список: убедитесь, что имя является разумным именем виртуального хоста, а не просто запрещает косую черту. Я проверяю, что имя начинается со строчной буквы или цифры и что оно не содержит символов, кроме строчных букв, цифр, точек и тире.

LC_CTYPE=C LC_COLLATE=C
case "$1" in
  *[!-.0-9a-z]*|[!0-9a-z]*) echo >&2 "Invalid host name"; exit 2;;
  *) rm -f /home/charlesingalls/"$1";;
esac

Этот ответ предполагает, что $1разрешено включать подкаталоги. Если вас интересует более простой случай, когда $1должно быть простое имя каталога, посмотрите другой ответ.

Подстановочные знаки не раскрываются в двойных кавычках. Поскольку $1в двойных кавычках, подстановочные знаки не являются проблемой.

Обе ../и символические ссылки могут скрыть реальное местоположение файла. Ниже показаны тесты, позволяющие определить, находится ли файл действительно, а не просто так, как мы хотим.

Новые системы: использование realpath

Что касается того, чтобы узнать, действительно ли файл находится в самом деле, находится ли он под /home/charlesingalls/или нет, вы можете использовать realpath:

realpath --relative-base=/home/charlesingalls/ "/home/charlesingalls/$1"  | grep -q '^/' && exit 1

Вышеприведенное запускается, exit 1если указанный файл $1находится где-либо, кроме каталога /home/charlesingalls/. realpathканонизирует весь путь, устраняя как символические ссылки, так и ../.

realpath является частью GNU coreutils и должен быть доступен в любой системе Linux.

realpathтребуется GNU coreutils 8.15 (январь 2012 г.) или выше .

Примеры

Чтобы продемонстрировать, как realpath следует ../для определения реального местоположения файла (например, -qопция grep опущена, так что фактический вывод grep видим):

$ touch /tmp/test
$ realpath --relative-base=$HOME "$HOME/../../tmp/test" | grep '^/' && echo FAIL
/tmp/test
FAIL

Чтобы продемонстрировать, как следует символические ссылки:

$ ln -s /tmp/test ~/test
$ realpath --relative-base=$HOME "$HOME/test" | grep '^/' && echo FAIL
/tmp/test
FAIL

Старые системы: использование readlink -e

readlinkтакже способен кононизировать путь, следуя как символическим ссылкам, так и ../:

readlink -e "$HOME/test" | grep -q "^$HOME" || exit 1

Используя те же файлы примеров:

$ readlink -e "$HOME/../../tmp/test" | grep "$HOME" || echo FAIL
FAIL
$ readlink -e "$HOME/test" | grep "^$HOME" || echo FAIL
FAIL

В дополнение к тому, что они доступны в более старых системах GNU, версии readlinkдоступны в BSD.

Если вы хотите полностью запретить пути, самый простой способ - проверить, содержит ли переменная слеш ( /). В Баш:

if [[ "$1" = */* ]] ; then...

Это заблокирует все пути, в том числе foo/bar. Вы можете проверить ..вместо этого, но это оставит возможность символических ссылок, указывающих на каталоги вне целевого пути.

Если вы хотите разрешить удаление только одного файла, я не думаю, что вы должны использовать rm -r.

Кроме того, в зависимости от того, что вы делаете, вы можете использовать системные права доступа к файлам, чтобы разрешить удаление только тех файлов, которые пользователь может удалить самостоятельно. Что-то вроде этого:

su charlesingalls -c "rm /home/charlesingalls/'$1'"

Хотя, как прокомментировал @Gilles, здесь есть проблема с кавычками: он потерпит неудачу, если будет $1содержать одинарную кавычку, поэтому сначала следует проверить переменную (например if [[ "$1" = *\'* ]] ; then fail..., с помощью белого списка разумного набора символов) или передать имя файла через него. переменная окружения с, например,

file="$1" su charlesingalls -c 'rm "/home/charlesingalls/$file"'