脚本执行权限设置需满足目录不可被非属主写入、脚本自身不可被组 / 其他用户修改;应使用绝对路径解释器、sha256sum 校验、realpath+stat 双重路径确认,并严格检查环境变量与上下文。
脚本执行权限设置不能只靠 chmod +x
直接给脚本加 chmod +x 并不等于安全。如果脚本被放在世界可写目录(如 /tmp 或 /var/www),攻击者可能替换文件内容或硬链接劫持。真正可控的执行路径应满足:目录不可被非属主写入、脚本自身不可被组 / 其他用户修改。
- 检查路径安全性:
namei -l /path/to/script.sh确保每一级目录的权限中不含
w给group或other - 脚本文件权限建议设为
0755(属主读写执行,组和其他仅读执行),且属主为可信用户(非root除非必要) - 避免使用
#!/usr/bin/env bash—— 它会搜索$PATH,而$PATH可被调用方篡改;改用绝对路径:#!/bin/bash
校验脚本完整性必须用 sha256sum 而非 md5sum
md5sum 已被证明存在碰撞风险,无法防止恶意篡改。生产环境脚本若需校验来源或防二次分发篡改,必须用 sha256sum 并配合签名验证(如 gpg)。
- 生成校验值:
sha256sum deploy.sh > deploy.sh.sha256 - 校验时必须指定输入文件名一致,否则易绕过:
sha256sum -c deploy.sh.sha256 2>/dev/null || {echo "校验失败"; exit 1;} - 注意:校验文件
.sha256必须和脚本同目录、同属主,且权限 ≤0644,否则可能被覆盖
敏感操作前必须做 realpath + stat 双重路径确认
很多脚本用相对路径或变量拼接路径(如 $BASE_DIR/config),但攻击者可通过软链接、cd 切换或符号路径绕过预期位置。仅靠字符串判断无法防御路径遍历或挂载点替换。
- 先解析真实路径:
SCRIPT_PATH=$(realpath "$0") - 再确认 inode 和设备号未被挂载覆盖:
stat -c "%d:%i" "$SCRIPT_PATH",与已知基准比对(尤其在容器或 NFS 环境下)
- 禁止使用
pwd、$PWD或未清理的$1构造路径;所有外部输入必须经basename+dirname拆解并白名单过滤
用 set -u -e -o pipefail 不代表脚本就安全了
这些选项能捕获未定义变量、命令失败和管道中断,但对逻辑漏洞、权限误用、环境污染毫无防护力。比如 rm -rf $DIR/ 中 $DIR 若为空或为 /,照样删根。
-
set -u仅防未定义变量,不防空值变量;应额外检查:[-n "$DIR"] || {echo "DIR unset"; exit 1;} -
set -e在if、&&、||中默认失效,容易漏掉分支错误;关键子命令后仍要显式判断:cp config.conf /etc/app/ || exit 1 - 所有外部命令(如
curl、jq)必须用command -v预检是否存在,避免 fallback 到同名恶意二进制
实际部署时,最常被忽略的是脚本启动上下文:当前工作目录、$PATH、$IFS、umask 值、是否在 systemd 用户实例中运行——这些都会让同一份脚本在不同环境产生权限或行为偏差。别只盯着语法,得盯住它在哪跑、被谁调、用什么环境跑。
