11.10 Temporäre Dateien
Manchmal benötigt man für ein Skript eine oder mehrere temporäre Datei(en). Zur Erzeugung einer solchen Datei gibt es verschiedene Verfahren.
Verzeichnis wählen
Zunächst einmal geht es um den Ort, an dem eine solche Datei erstellt werden soll. Es könnte das aktuelle Arbeitsverzeichnis, das Verzeichnis /tmp oder auch jedes andere Verzeichnis sein. Es empfiehlt sich jedoch, für temporäre Dateien auch das spezielle Verzeichnis für temporäre Dateien (also /tmp) zu verwenden.
Dateinamen wählen
Es ist nicht sonderlich schlau, eine Datei wie /tmp/a und /tmp/b als temporäre Datei zu verwenden. Zum einen sind diese Dateien vom Namen her recht einfallslos, was zur Folge haben kann, dass auch andere Programme oder Skripte denselben Dateinamen verwenden. [Fn. Solche Programme gehören im Übrigen in den Mülleimer.] Zum anderen ergibt sich ein Sicherheitsproblem: Ein Angreifer könnte eine Race Condition erschaffen und ausnutzen. Sagen wir, dass Ihr Shellskript auf die folgende Weise in die Datei /tmp/a schreibt:
Listing 11.53 Sehr verwundbarer Code
echo $1 > /tmp/a
Besitzt der Angreifer auch nur einen Hauch von Hacking-Know-how, so sieht er sofort, dass dieser Code, wenn er vom Superuser ausgeführt wird, praktisch alle Türen auf einem Linux-System öffnet. Erzeugt der Angreifer nun einfach vorher einen Link von /tmp/a auf /etc/passwd, so würde der Superuser beim Aufruf des Skripts (vielleicht ohne es zu merken) die Passwortdatei überschreiben.
Wäre der Angreifer zudem in der Lage, den übergebenen Parameter $1 zu manipulieren, könnte er den neuen Inhalt der Passwortdatei selbst gestalten. [Fn. Mehr zum Thema »Sichere Programmierung« erfahren Sie in unserem Buch »Praxisbuch Netzwerk-Sicherheit«, 2. Auflage 2007.]
Prozess-ID
Nun könnte man meinen, dass der einfachste Weg, hier Abhilfe zu schaffen, der sei, dass man an dem Dateinamen die Prozess-ID des Shellskripts anhängt, den Skriptcode also folgendermaßen modifiziert:
Listing 11.54 Immer noch verwundbarer Code
echo $1 > /tmp/a.$$
Dies ist aber immer noch relativ unsicher, da sich Prozess-IDs unter Linux inkrementieren und daher sehr einfach voraussagen lassen. [Fn. Es sei denn, man verwendet Kernel-Patches wie GRSecurity, die randomisierte Prozess-IDs ermöglichen.]
mktemp
Eine wesentlich bessere Lösung stellt das Programm mktemp dar, das beim Aufruf eine Datei im Verzeichnis /tmp erstellt und ihren Namen ausgibt. Diese Datei hat eine recht lange und vor allen Dingen zufällige Endung, die sich nur sehr schwer voraussagen lässt. Das obige Skript ließe sich also folgendermaßen wesentlich sicherer implementieren:
Listing 11.55 Bereits relativ sicherer Code
echo $1 > `mktemp`
Das Problem besteht nun darin, dass Sie keine Ahnung haben, wie die entsprechende Datei heißt. Daher muss der Dateiname gemerkt (und am besten auch gleich nach der Verwendung wieder überschrieben) werden.
Listing 11.56 Ein noch besser abgesicherter Code
TMPFILE=`mktemp`
echo $1 > $TMPFILE
...
...
# Den Dateinamen in $TMPFILE überschreiben
rm -f $TMPFILE
TMPFILE="XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
Jetzt müsste es dem Angreifer schon gelingen, den Dateinamen vorherzusagen, oder er müsste das Programm mktemp hacken und durch eine eigene Version ersetzen. [Fn. Dies wiederum ließe sich mit Intrusion-Detection-Systemen für Dateisysteme herausfinden. Mehr hierzu ebenfalls in unserem »Praxisbuch Netzwerk-Sicherheit«, 2. Auflage, 2007.]
Selbstverständlich ist der Inhalt der temporären Datei noch nicht unwiderruflich gelöscht, aber auch dies soll nur erwähnt werden, weil eine Lösung des Problems das eigentliche Thema (Shellskriptprogrammierung) übersteigt.
Ihr Kommentar
Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.
