実行前のコマンドバイナリの検証

bashスクリプトから実際に実行していることを確認する方法はありますか？

（例えば：あなたのbashスクリプトは、いくつかのコマンドを呼び出していると言うtar、mail、scp、mysqldump）、あなたはそのことを確認して喜んでいるtar本当の、実際にあるtarことによって決定された、rootファイルおよび親ディレクトリの所有者と書き込み権限を持つ唯一の一つであるユーザー所有者/tmp/surprise/tarであるwww-dataかapache2所有者ではない人もいます。

確かに私PATHは環境について知っていますが、これを実行中のbashスクリプトからさらにチェックできるかどうか、そしてそうであれば、どのくらい正確に知りたいですか？

例：（擬似コード）

tarfile=$(which tar)
isroot=$(ls -l "$tarfile") | grep "root root"
#and so on...

実行するバイナリを検証する代わりに、最初から正しいバイナリを実行できます。たとえば、実行しないようにしたい場合は、スクリプトで/tmp/surprise/tar実行/usr/bin/tarするだけです。または、$PATH何かを実行する前に、適切な値に設定します。

あなたがファイル/usr/bin/や他のシステムディレクトリを信頼しない場合、自信を取り戻す方法はありません。あなたの例では、で所有者を確認してlsいますが、どのように信頼できることを知っていますかls？同じ議論は、md5sumやなどの他のソリューションにも適用されstraceます。

システムの完全性に対する高い信頼性が必要な場合、IMAなどの特殊なソリューションが使用されます。しかし、これはスクリプトから使用できるものではありません。システム全体を特別な方法でセットアップし、不変ファイルの概念を適切に設定する必要があります。

侵入者がシステムにアクセスし、自分を変更できる場合$PATH（/tmpどのような状況でもこれを含めるべきではありません）、実行可能ファイルの所有権を心配するのは遅すぎます。

代わりに、侵入への対処方法について読む必要があります。

侵入を完全に回避することに集中することをお勧めします。

これらの種類の事柄が重要なシステムがある場合、パブリックにする必要がある部分をプライベートにする必要がある部分から分離し、通信モードの監査を実行することをお勧めしますこれらの間。

md5sumファイルの検証によってある程度可能です。したがって、aptパッケージ管理を使用するシステム（私の場合はUbuntu 16.04）には、インストール中に/var/lib/dpkg/info/tar.md5sums取得されたすべてのファイルのmd5合計を保存するfile がありtarます。したがって、の出力がmd5sum /bin/tarそのファイルにあるものと一致するかどうかをチェックする単純なifステートメントを書くことができます。

もちろん、ファイル自体が改ざんされていないことを前提としています。もちろん、これは攻撃者がroot / sudoアクセスを取得したときにのみ発生し、その時点ですべてのベットはオフになります。

はい、組み込みメソッドがありtypeます。whichPATHでのみ検索するコマンドとは異なりtype、コマンド名が実際に予約キーワード、組み込み、エイリアス、関数、またはディスクファイルであるかどうかがわかります。

$ type -t foobar || echo "Not found"
Not found

$ type -t echo
builtin

$ enable -n echo; type -t echo; type -p echo
file
/usr/bin/echo

$ echo() { printf "(echoing) %s\n" "$*"; }; type -t echo
function

$ alias echo="/bin/echo 'I say: ' "; type -t echo
alias

さらにtype -a、コマンドのすべての候補（最初の選択から最後の選択まで）を提供します。

$ type -a echo
echo is aliased to `/bin/echo 'I say: ' '
echo is a function
echo () 
{ 
    printf "(echoing) %s\n" "$*"
}
echo is a shell builtin
echo is /usr/local/bin/echo
echo is /bin/echo

最後に、ディスク上のバイナリのみに関心がある場合type -Paは、PATH内のすべてのバイナリを取得するために使用できます（上記と同じ順序）。

$ type -Pa tar
/home/me/bin/tar                <= oh oh, is this normal?
/bin/tar

とtypeはいえ、それだけでは、最終的にどのコマンドが呼び出されるかを正確に伝えることはできません。たとえば、あなたtarがバイナリ（たとえばalias tar="/tmp/tar"）を呼び出すエイリアスである場合、typeこれはであることがわかりますalias。

を使用して、スクリプトによって正確に実行されているコマンドを確認できますstrace。例えば：

strace -f -e execve ./script.sh

次のスクリプトを使用します。

#!/bin/bash
touch testfile.txt
echo "Hello" >> testfile.txt
cat testfile.txt
rm testfile.txt

strace-e execveパラメータとともに使用したときに実行されるコマンドへの正確なパスを示します。

execve("./script.sh", ["./script.sh"], [/* 69 vars */]) = 0 
Process 8524 attached
[pid  8524] execve("/usr/bin/touch", ["touch", "testfile.txt"], [/* 68 vars */]) = 0 
[pid  8524] +++ exited with 0 +++
--- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=8524, si_status=0, si_utime=0, si_stime=0} --- 
Process 8525 attached [pid > 8525] execve("/bin/cat", ["cat", "testfile.txt"], [/* 68 vars */]) = 0
Hello [pid  8525] +++ exited with 0 +++
--- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=8525, si_status=0, si_utime=0, si_stime=0} --- 
Process 8526 attached [pid > 8526] execve("/bin/rm", ["rm", "testfile.txt"], [/* 68 vars */]) = 0
[pid  8526] +++ exited with 0 +++
--- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=8526, si_status=0, si_utime=0, si_stime=0} ---
+++ exited with 0 +++

パラメーター（strace manから）：

-f：子プロセスは、fork（2）、vfork（2）、clone（2）システムコールの結果として現在トレースされているプロセスによって作成されたとおりにトレースします。-p PID -fthread_id = PIDのスレッドだけでなく、マルチスレッドの場合、プロセスPIDのすべてのスレッドをアタッチすることに注意してください。

-e trace=file：引数としてファイル名を取るすべてのシステムコールをトレースします。-e trace=open,stat,chmod,unlink,...これは、プロセスが参照しているファイルを確認するのに役立つ略語と考えることができます。さらに、略語を使用すると、リストにlstatのような呼び出しを含めることを誤って忘れないようにすることができます。

Linux OSはファイルに基づいており、Linuxで実行される多くのコマンドは、おそらくマシン上のファイルの一部の変更を解決します。そのため、おそらくあなたの問題の最善の解決策です。コマンドを実行する前に、ファイルシステムの変更をコマンドでテストできます。

コマンドを部分的に逆コンパイルする「strace」コマンドがあります...

深く掘り下げたい場合は、実行されるスクリプトの逆コンパイラをチェックアウトする必要があります。つまり、そのコマンドのアセンブラーの解釈を確認する必要があります。bashがありobjdump -dます。Linux binスクリプトは主にCプログラミング言語で作成されるため、適切なC逆コンパイラーを使用してください。