Читаем Linux API. Исчерпывающее руководство полностью

• Так как владелец файла определяется на основе пользовательского идентификатора создающего процесса, для установления корректной информации о владельце созданного файла, возможно, придется временно изменить учетные данные с помощью вызова seteuid() или setreuid(). То же самое касается программ, устанавливающих GID, так как принадлежность к группе может определяться на основе действующего группового идентификатора (см. подраздел 15.3.1). Проблем можно избежать, если использовать соответствующие вызовы для работы с идентификатором группы (строго говоря, в Linux владелец нового файла определяется на основе UID файловой системы процесса, который обычно совпадает с действующим пользовательским идентификатором; см. раздел 9.5).

• Если программа, устанавливающая идентификатор администратора, должна изначально владеть файлом, который она создает, но потом может передать владение другому пользователю, этот файл с самого начала должен быть доступен для записи только администратору. Этого можно достичь с помощью подходящего значения для аргумента mode при вызове open() или путем задания атрибута umask для процесса перед этим вызовом. После этого программа при необходимости может воспользоваться вызовами fchown() и fchmod(), чтобы поменять соответственно данные о владении и права доступа. Ключевой момент заключается в том, что программа, устанавливающая UID, никогда не должна создавать файлы, которые принадлежат ее владельцу и которые могут в какой-либо момент быть изменены другими пользователями.

• Атрибуты файла следует проверять уже после получения открытого файлового дескриптора (например, когда за вызовом open() следует fstat()), вместо того чтобы сначала делать проверку по пути к файлу, а только потом его открывать (например, когда вызов open() выполняется после stat()). В противном случае возникает проблема вида TOCTTOU.

• Если программа должна убедиться в том, что она является создателем файла, при выполнении вызова open() следует использовать флаг O_EXCL.

• Привилегированная программа не должна создавать или задействовать файлы в публичных каталогах, доступных для записи (таких как /tmp), так как это позволяет злоумышленнику создавать файлы с именами, на которые эта программа рассчитывает. Если вам действительно необходимо создать файл в каталоге, открытом для публичной записи, вы как минимум должны указать для него непредсказуемое имя, используя такие функции, как mkstemp() (см. раздел 5.12).

38.8. Не доверяйте внешнему вводу или среде выполнения

Привилегированные программы не должны действовать, исходя из своих предположений о предоставляемом им вводе или среде, в которой они выполняются.

Не доверяйте переменным среды

Программы, устанавливающие идентификаторы пользователя и группы, не должны полагаться на аутентичность переменных среды. Особенно это относится к двум переменным: PATH и IFS.

PATH определяет, где командная оболочка (а следовательно, и вызовы system() и popen()) и функции execlp() и execvp() будут искать программу. Злоумышленник может присвоить этой переменной значение, из-за которого вы по ошибке запустите в привилегированном режиме произвольную программу. Если вы используете вышеупомянутые функции, переменная PATH должна быть ограничена списком доверенных каталогов (хотя для запуска программ лучше указывать абсолютные пути). Однако, как уже было отмечено, перед выполнением командной оболочки или использованием функций семейства exec() лучше всего отказаться от привилегий.

IFS определяет символы, которые командная оболочка интерпретирует как разделители между словами в командной строке. Эта переменная должна быть равна пустой строке — это означает, что разделителями могут быть только пробельные символы. Некоторые оболочки используют ее с этой целью при загрузке (в разделе 27.6 описана одна уязвимость, которая связана с переменной среды IFS и проявляется в старых версиях интерпретатора bash).

В некоторых ситуациях наиболее надежным вариантом является полная очистка списка переменных среды (см. раздел 6.7) и восстановление только тех из них, которые точно имеют безопасные значения. Особенно это касается запуска внешних программ или вызов библиотек, на которые может влиять конфигурация переменных среды.

Осторожно обрабатывайте пользовательский ввод