执行前验证命令二进制文件

有什么方法可以检查您从bash脚本实际执行的操作吗？

说你的bash脚本调用几个命令（例如：tar，mail，scp，mysqldump），你愿意以确保tar是真正的，真实的tar，这是由确定root用户是该文件的父目录的所有者，也是唯一一个具有写权限而不是/tmp/surprise/tar拥有者www-data或apache2拥有者。

当然，我知道PATH环境，我很想知道是否可以从正在运行的bash脚本中另外检查一下，如果可以的话，如何检查？

示例：（伪代码）

tarfile=$(which tar)
isroot=$(ls -l "$tarfile") | grep "root root"
#and so on...

您可以从头开始执行正确的二进制文件，而不必验证要执行的二进制文件。例如，如果要确保不运行/tmp/surprise/tar，只需/usr/bin/tar在脚本中运行即可。或者，$PATH在运行任何东西之前将您的值设置为合理的值。

如果您不信任/usr/bin/其他系统目录中的文件，则无法恢复信心。在您的示例中，您正在使用来检查所有者ls，但是您如何知道您可以信任ls？相同的论点适用于其他解决方案，例如md5sum和strace。

在需要高度信任系统完整性的地方，可使用IMA等专用解决方案。但这不是您可以在脚本中使用的东西：整个系统必须以一种特殊的方式来设置，并具有不可变文件的概念。

如果入侵者已经获得了对系统的访问权限并且能够修改您的系统$PATH（/tmp在任何情况下都不应包括在内），那么现在开始担心可执行文件的所有权就为时已晚。

相反，您应该阅读有关如何处理入侵的信息。

最好集中精力完全避免入侵。

如果您的系统会影响这类事情，那么最好将需要公开的部分与需要私有的部分隔离开来，并对通信模式进行审核在这些之间。

可以通过验证md5sum文件的某种程度。因此，在使用apt包管理的系统上（在我的特例中是Ubuntu 16.04），存在一个文件/var/lib/dpkg/info/tar.md5sums，该文件存储tar安装期间来自所有文件的md5总和。因此，您可以编写一个简单的if语句，检查语句的输出是否md5sum /bin/tar与该文件中的内容匹配。

那当然是假设文件本身没有被篡改。当然，只有在攻击者获得root / sudo访问权限时（此时所有赌注都已关闭），才会发生这种情况。

是的，有一种方法：内置type。与which仅在PATH中搜索的命令相反，type它将告诉您命令名称实际上是保留关键字，内置关键字，别名，函数还是磁盘文件。

$ type -t foobar || echo "Not found"
Not found

$ type -t echo
builtin

$ enable -n echo; type -t echo; type -p echo
file
/usr/bin/echo

$ echo() { printf "(echoing) %s\n" "$*"; }; type -t echo
function

$ alias echo="/bin/echo 'I say: ' "; type -t echo
alias

此外，type -a还会为您提供命令的所有候选项（从第一个到最后一个选择）：

$ type -a echo
echo is aliased to `/bin/echo 'I say: ' '
echo is a function
echo () 
{ 
    printf "(echoing) %s\n" "$*"
}
echo is a shell builtin
echo is /usr/local/bin/echo
echo is /bin/echo

最后，如果您只关心磁盘上的二进制文件，则可以使用type -Pa来获取PATH中的所有二进制文件（与上述顺序相同）：

$ type -Pa tar
/home/me/bin/tar                <= oh oh, is this normal?
/bin/tar

就是说，type仅靠一句话并不能告诉您到底将调用什么命令。例如，如果您tar是调用二进制文件的别名（例如alias tar="/tmp/tar"），type则将告诉您这是一个alias。

您可以使用来检查脚本确切执行了哪些命令strace。例如：

strace -f -e execve ./script.sh

使用以下脚本：

#!/bin/bash
touch testfile.txt
echo "Hello" >> testfile.txt
cat testfile.txt
rm testfile.txt

strace与-e execve参数一起使用时，将告诉您执行命令的确切路径：

execve("./script.sh", ["./script.sh"], [/* 69 vars */]) = 0 
Process 8524 attached
[pid  8524] execve("/usr/bin/touch", ["touch", "testfile.txt"], [/* 68 vars */]) = 0 
[pid  8524] +++ exited with 0 +++
--- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=8524, si_status=0, si_utime=0, si_stime=0} --- 
Process 8525 attached [pid > 8525] execve("/bin/cat", ["cat", "testfile.txt"], [/* 68 vars */]) = 0
Hello [pid  8525] +++ exited with 0 +++
--- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=8525, si_status=0, si_utime=0, si_stime=0} --- 
Process 8526 attached [pid > 8526] execve("/bin/rm", ["rm", "testfile.txt"], [/* 68 vars */]) = 0
[pid  8526] +++ exited with 0 +++
--- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=8526, si_status=0, si_utime=0, si_stime=0} ---
+++ exited with 0 +++

参数（来自strace man）：

-f：跟踪由fork（2），vfork（2）和clone（2）系统调用导致当前跟踪的进程创建的子进程。请注意，-p PID -f如果进程PID是多线程的，则将附加进程PID的所有线程，而不仅限于thread_id = PID的线程。

-e trace=file：跟踪所有以文件名作为参数的系统调用。您可以将其视为缩写，-e trace=open,stat,chmod,unlink,...这对于查看进程所引用的文件很有用。此外，使用缩写将确保您不会意外忘记在列表中包括lstat之类的调用。

Linux os基于文件，并且在linux上执行的许多命令可能会解决您计算机上文件中的某些更改。因此，这也许是解决您问题的最佳解决方案。您可以在文件系统上执行任何命令之前对其命令进行测试。

有'strace'命令可以部分分解您的命令...

如果您真的想深入了解，请检查反编译器以了解将要执行的脚本。换句话说，您必须检查该命令的汇编程序解释。在那里狂欢objdump -d。Linux bin脚本主要使用C编程语言创建，因此请使用良好的C反编译器。