Saya sadar yang terbaik untuk membuat file sementara dengan mktemp, tetapi bagaimana dengan pipa bernama?
Saya lebih suka hal-hal yang sesuai POSIX mungkin, tetapi hanya Linux yang dapat diterima. Menghindari Bashisme adalah satu-satunya kriteria sulit saya, ketika saya menulisdash .
Jawaban:
tmppipe=$(mktemp -u)
mkfifo -m 600 "$tmppipe"Tidak seperti pembuatan file biasa, yang cenderung dibajak oleh file yang ada atau tautan simbolik, pembuatan pipa nama melalui mkfifoatau fungsi yang mendasarinya membuat file baru di tempat yang ditentukan atau gagal. Sesuatu seperti : >fooini tidak aman karena jika penyerang dapat memprediksi output mktempmaka penyerang dapat membuat file target untuk dirinya sendiri. Tetapi mkfifo fooakan gagal dalam skenario seperti itu.
Jika Anda membutuhkan portabilitas POSIX penuh, mkfifo -m 600 /tmp/myfifoaman terhadap pembajakan tetapi rentan terhadap penolakan layanan; tanpa akses ke generator nama file acak yang kuat, Anda perlu mengatur upaya coba lagi.
Jika Anda tidak peduli dengan masalah keamanan halus di sekitar file sementara, Anda dapat mengikuti aturan sederhana: membuat direktori pribadi, dan menyimpan semuanya di sana.
tmpdir=
cleanup () {
if [ -n "$tmpdir" ] ; then rm -rf "$tmpdir"; fi
if [ -n "$1" ]; then kill -$1 $$; fi
}
tmpdir=$(mktemp -d)
trap 'cleanup' EXIT
trap 'cleanup HUP' HUP
trap 'cleanup TERM' TERM
trap 'cleanup INT' INT
mkfifo "$tmpdir/pipe"trap "rm -rf '$tempdir'" EXIT HUP INT TERM? Bisakah menjebak melakukan ekspansi variabel itu sendiri?
$tempdirpada saat trapperintah dievaluasi, bukan pada saat jebakan dipicu. Dalam hal ini, tidak ada bedanya, kecuali bahwa kode Anda rusak parah jika nilai tempdirberisi satu kutipan, sedangkan kode saya selalu berfungsi.
$tempdirdideklarasikan secara lokal dan harus didefinisikan secara global agar trap memiliki akses ke sana. Masuk akal sekarang ...
$tempdir nilainya tidak berubah, yang pada dasarnya dapat diterima untuk semua tujuan. Berhati-hatilah untuk tidak menggunakan nama yang sama untuk membuat beberapa file temp / direktori ...
Alternatif yang lebih aman adalah menggunakan mktempuntuk membuat direktori dengan aman, lalu letakkan pipa bernama Anda di dalam direktori itu, lakukan rm -R $diruntuk menyingkirkannya pada akhirnya.
mktempdirektori, karena itu adalah satu-satunya jawaban yang dapat diterima, kalau-kalau Anda tidak memperhatikan, @Gilles sudah memposting jawaban ini secara mendalam.
Gunakan opsi "dry-run":
mkfifo $(mktemp -ut pipe.XXX)-uopsi "tidak dianjurkan".
-t, tapi selama itu bisa diandalkan, saya akan menggunakannya.
-tberkecil hati?
mkstemp()fungsi ( linux.die.net/man/3/mkstemp ). The -tsaklar tidak berkecil hati, itu adalah -p, saya buruk.
Anda dapat menggunakan mktempuntuk membuat file sementara, lalu menghapusnya dan membuat pipa bernama dengan nama yang sama.
Sebagai contoh:
TMPPIPE=$(mktemp -t pipe.XXX) && {
rm -f $TMPPIPE
mkfifo $TMPPIPE
}$TMPPIPEsebelum mkfifomenghindari masalah 'tidak aman' terkait dengan melakukan TMPPIPE=`mktemp -u` ; mkfifo $TMPPIPE?
mkfifosebenarnya aman, tidak seperti pembuatan file biasa dari shell. Jika tidak, membuat file kemudian menghapusnya tidak akan membantu sama sekali (sebenarnya itu akan sangat memudahkan pekerjaan penyerang dengan tidak mengharuskannya untuk menebak nama file). Jadi jawaban dogbane bekerja, tetapi pembuatan file perantara adalah komplikasi yang tidak berguna.
mktemphalaman manual yang disebut -uopsi 'tidak aman'?
mktemp -dAnda masih mendapat beberapa poin untuk input Anda. Terima kasih atas semua bantuan Anda, saya sangat menghargainya!
mktemp -utidak aman saat membuat file biasa, karena memberikan perlindungan terhadap penolakan layanan (jika nama yang dihasilkannya cukup tidak dapat diprediksi) tetapi tidak mencegah penyerang membuat file di bawah hidung program. Membuat fifo alih-alih file biasa adalah kasus penggunaan yang jarang yang tidak ditangani oleh halaman manual.
Gunakan mkfifoatau mknoddi Unix, di mana dengan dua proses terpisah dapat mengakses pipa dengan nama - satu proses dapat membukanya sebagai pembaca, dan yang lainnya sebagai penulis.
mkfifo my_pipe
gzip -9 -c < my_pipe > out.gz
cat file > my_pipePipa bernama dapat dihapus seperti file apa pun:
rm my_pipe
mkfifo --mode=0666 /tmp/namedPipe
gzip --stdout -d file.gz > /tmp/namedPipeNamedPipe dapat digunakan file biasa untuk hanya membaca sekali.
mkfifo. Itu tidak menjawab pertanyaan saya tentang pipa bernama sementara , lebih dari mkdiralamat membuat direktori sementara.
mktempditangani untuk membuat pipa bernama dengan aman ?
mktemphasil itu sendiri (ofcourse dengan menghapus file temp terlebih dahulu dan kemudian berjalan mkfifopada yang sama). mktempjuga dapat digunakan untuk membuat direktori sementara, coba dengan -t -dswitch.