Provided by: manpages-zh_1.6.3.3-1_all bug

NAME

       perlsec - Perl 安全

DESCRIPTION 描述

       Perl可以輕鬆寫出安全的程序,即使運行時有特殊權限,比如setuid或setgid程序。許多腳本的命令行裏有多項替換語句,Perl卻不是這樣,它使用更多傳統方法而少有艱深。而且,由於perl語言有更多內在功能,它可以更少的依賴於其他(可能不可信的)程序來完成根本目的。

        當Perl檢測到程序中真實的用戶或組ID與有效用戶或組ID不同時,它自動地開啓一種叫做“污染模式”特殊的安全性檢測。setuid的unix的權限位是04000,setgid
       的UNIX權限位是02000;它們都有可能被設置。你也可以用命令行標識 -T
       明確地開啓“污染模式”。強烈建議服務器程序或者在以其他人身份運行的程序(比如CGI腳本)使用此標識符。一旦污染模式被打開,它在腳本的餘下內容中一直開啓。

       在“污染模式”中,Perl使用叫做“污染檢測”的特殊預防方法來防止明顯的和不易被察覺的陷阱。一些檢測相當簡單,如檢查路徑目錄以確定它們對其他人是不可寫的;小心的程序員一向做此類檢測。其他的檢測已經得到Perl本身最好的支持,這些檢測尤其使寫一個set-
       id的Perl程序比相應的C程序更安全。

       你不可以使用來自程序之外的數據來影響程序之外的事情——至少不是偶然的。所有命令行參數,環境變量,本地信息(參見perllocale),特定系統調用的結果(readdir(),readlink(),shmread()的變量,msgrcv()的返回信息,getpwxxx()調用返回的密碼、gcos和shell域)和所有文件輸入都被標記成“污染的”。“污染的”數據既不可以直接或間接在任何調用一個子shell命令中使用,也不能在任何修改文件、目錄或進程的命令中使用,但有以下例外:

       ·   print和syswrite的參數不被檢查是否被污染。

       ·   符號方法

               $obj->$method(@args);

           以及符號的子引用

               &{$foo}(@args);
               $foo->(@args);

           不會被檢查是否被污染。這要求額外的小心,除非你希望外部數據影響你的控制流。除非你小心地限制這些符號值是什麼,人們可以從
           Perl 代碼外部調用函數,類似 POSIX::system,來運行任意外部代碼。

       爲了效率原因,Perl
       對數據是否已被污染持保守的看法。如果一個表達式包含污染的數據,任何子表達式都被認爲污染的,即使自表達式的值與污染的數據無關

       由於污染與每個標量值相關,一個數組或散列的元素可以只有一部分被污染。散列的鍵永遠不會被污染。

       例如:

           $arg = shift;               # $arg 是污染的
           $hid = $arg, 'bar';         # $hid 也是污染的
           $line = <>;                 # 污染的
           $line = <STDIN>;            # 仍舊是污染的
           open FOO, "/home/me/bar" or die $!;
           $line = <FOO>;              # 還是污染的
           $path = $ENV{'PATH'};       # 污染的, 但是請看下面
           $data = 'abc';              # 非污染的

           system "echo $arg";         # 不安全的
           system "/bin/echo", $arg;   # 認爲不安全
                                       # (Perl 不知道 /bin/echo)
           system "echo $hid";         # 不安全的
           system "echo $data";        # 如果PATH被設定,那麼纔是安全的

           $path = $ENV{'PATH'};       # $path 現在是污染的

           $ENV{'PATH'} = '/bin:/usr/bin';
           delete @ENV{'IFS', 'CDPATH', 'ENV', 'BASH_ENV'};

           $path = $ENV{'PATH'};       # $path 現在不是污染的
           system "echo $data";        # 現在是安全的!

           open(FOO, "< $arg");        # OK - 只讀文件
           open(FOO, "> $arg");        # Not OK - 試圖去寫

           open(FOO,"echo $arg⎪");     # Not OK
           open(FOO,"-⎪")
               or exec 'echo', $arg;   # 同樣 not OK

           $shout = `echo $arg`;       # 不安全的, $shout 現在是污染的

           unlink $data, $arg;         # 不安全的
           umask $arg;                 # 不安全的

           exec "echo $arg";           # 不安全的
           exec "echo", $arg;          # 不安全的
           exec "sh", '-c', $arg;      # 非常不安全!

           @files = <*.c>;             # 不安全的 (使用 readdir() 或其他)
           @files = glob('*.c');       # 不安全的 (使用 readdir() 或其他)

           # In Perl releases older than 5.6.0 the <*.c> and glob('*.c') would
           # have used an external program to do the filename expansion; but in
           # either case the result is tainted since the list of filenames comes
           # from outside of the program.

           $bad = ($arg, 23);          # $bad will be tainted
           $arg, `true`;               # Insecure (although it isn't really)

       如果你試圖做一些不安全的事情,你會得到類似"Insecure dependency"或"Insecure
       $ENV{PATH}"的致命錯誤。

       Laundering and Detecting Tainted Data 清洗和檢測污染數據

       測試一個變量是否含有污染的數據,誰的用法會引發一條"Insecure
       dependency"信息,在你附近的CPAN鏡像查找Taint.pm模塊,它應該在1997年左右就可以得到
       。或者你可以用is_tainted()函數。

           sub is_tainted {
               return ! eval { eval("#" . substr(join("", @_), 0, 0)); 1 };
           }

       此函數利用了“表達式中任何一部分存在的污染數據致使整個表達式都被污染”。操作員測試每個參數是否被污染會使效率低下。相反,稍稍高效且穩定的方法是,只要一個表達式中任何一部分存取一個被污染的值,那麼這個表達式被認爲是被污染的。

       但是僅僅測試數據是否被污染還不夠。有時你必須清除數據的污染。唯一的通過污染機制的方法是引用正則表達式中的一個子模式。Perl假定如果你用$1,
       $2等等引用一個子串,那麼你就知道你在做什麼。也就是說你必須思考而不是盲目的解除污染,或者違抗整個機制。校驗變量是否只含有好的字符(已知的好的字符)比檢查它是否含有壞的字符要好。是因爲很可能就把意料之外的壞字符漏掉。

       下面的例子是一個檢查數據中是否只含有單詞(字母、數字、下劃線)、連字符、'@'符號或者是'.'。

           if ($data =~ /^([-\@\w.]+)$/) {
               $data = $1;                     # $data now untainted
           } else {
               die "Bad data in '$data'";      # log this somewhere
           }

       這完全沒有問題,因爲/1920/從理論上講會不安全,因爲它匹配任何字符,而Perl將不再檢查它們。我們的經驗是當你解除污染時,必須對匹配模式極其的小心。使用正則表達式清洗數據是解除污染的唯一機制,除非你使用下面才詳細敘述的派生一個特權被降低的字進程的方法。

       如果程序中使用了use locale,那麼上面的例子將不會解除$data的污染,因爲4920

       當你使腳本程序可執行,就是可以像命令一樣讓它們工作時,系統會把"#!"行的開關傳遞給Perl。Perl檢查setuid(或setgid)程序的任何和"#!"行開關匹配的命令行開關。一些Unix或Unix-
       like系統環境強制在"#!"行使用一個開關,所以你也許必須用類似-wU的開關而不是-w
       -U。(這個問題只出現在支持#!、setuid、setgid腳本的Unix或Unix-like系統環境中)

       Taint mode and @INC

       When the taint mode ("-T") is in effect, the "." directory is removed from @INC, and the
       environment variables "PERL5LIB" and "PERLLIB" are ignored by Perl. You can still adjust
       @INC from outside the program by using the "-I" command line option as explained in
       perlrun. The two environment variables are ignored because they are obscured, and a user
       running a program could be unaware that they are set, whereas the "-I" option is clearly
       visible and therefore permitted.

       Another way to modify @INC without modifying the program, is to use the "lib" pragma,
       e.g.:

         perl -Mlib=/foo program

       The benefit of using "-Mlib=/foo" over "-I/foo", is that the former will automagically
       remove any duplicated directories, while the later will not.

       Cleaning Up Your Path 清理路徑

       對於"Insecure
       $ENV{PATH}"這樣的信息,你必須把$ENV{PATH}設置爲已知的,並且路徑中的任何目錄都對於非本用戶或非本組成員不可寫。你也許會在即使路徑名是完全合法的情況下收到那條信息表示非常驚訝。當你沒有提供程序一個完整的路徑時,它不會被引起;相反,若你從未設置PATH環境變量,或者你沒有把它設置安全,它就會被引起。因爲Perl不能保證可疑的可執行程序是不是它本身將執行其他的依賴於PATH的程序,它確定是你設定的PATH。

       PATH不是唯一可能導致問題的變量。因爲一些shell會使用IFS,CDPATH,ENV和BASH_ENV,Perl在開始子進程時檢查它們是否也爲空或者未污染。你也許會在你的set-
       id和污染檢測模式下的腳本程序中加入這些東西:

           delete @ENV{qw(IFS CDPATH ENV BASH_ENV)};   # 使 %ENV 更安全

       當然,無論是否使用污染變量都有可能出現麻煩。在處理任何由用戶提供的文件名的文件時,要做周密的測試。必須時,可以在去掉用戶(或組!)的特權之後再進行類似open的操作。Perl不阻止你打開污染的文件名並讀取內容,所以要小心對待打印出的內容。污染機制的目的是防止愚蠢的錯誤,不是使人懶惰不去思考。

       當你傳遞給system和exec明確的參數列表而非含有通配符的字符串時,Perl不會調用shell去擴展通配符。不幸的是,open,glob,backtick(譯註:backtick爲反引號)函數並不提供這樣的特性,所以當使用它們的時候必須非常仔細。

       Perl爲從一個setuid或setgid程序打開文件或管道提供了一個安全的方法:創建一個減少權限的子進程來爲你完成那些“骯髒”的工作。首先,用特殊的OPEN語法創建一個子進程,使其和父進程通過一個管道相連。現在子進程把它的ID和其他諸如環境變量,umask,當前工作目錄的性質重新設置回原始的或安全的變量。然後讓該不具有任何特權的子進程來完成OPEN和其他的系統調用。最終,子進程把它成功存取的數據傳遞給父進程。因爲文件或管道是由運行於比父進程權限低的子進程打開的,所以它不容易被欺騙去做它不該做的事情。

       這裏有一個安全使用backtick的方法。注意當shell可能擴展時,exec是如何不被調用的。這是目前來調用可能被shell轉義的東西最好的方法:從不調用shell。

               use English '-no_match_vars';
               die "Can't fork: $!" unless defined($pid = open(KID, "-⎪"));
               if ($pid) {           # parent
                   while (<KID>) {
                       # do something
                   }
                   close KID;
               } else {
                   my @temp     = ($EUID, $EGID);
                   my $orig_uid = $UID;
                   my $orig_gid = $GID;
                   $EUID = $UID;
                   $EGID = $GID;
                   # Drop privileges
                   $UID  = $orig_uid;
                   $GID  = $orig_gid;
                   # Make sure privs are really gone
                   ($EUID, $EGID) = @temp;
                   die "Can't drop privileges"
                       unless $UID == $EUID  && $GID eq $EGID;
                   $ENV{PATH} = "/bin:/usr/bin"; # Minimal PATH.
                   # Consider sanitizing the environment even more.
                   exec 'myprog', 'arg1', 'arg2'
                       or die "can't exec myprog: $!";
               }

        使用類似的策略可以讓glob使用通配符擴展,雖然也可以用readdir。

       當你雖然相信自己並沒有寫有問題的程序,但並不信任程序的最終使用者不會企圖讓它做壞事時,污染檢測最爲有用。此類安全檢查對set-
       id和以其他用戶身份運行的程序(如CGI)非常有用。

       若連程序的作者都不可信的話,情況就不同了。當某人給你一段程序並和你說,“給,試試看。”對於此類安全問題,使用包含在Perl發行版中的Safe模塊。這個模塊允許程序員建立特殊的隔間,在其中所有的系統調用都被截獲,並且名字空間入口被嚴格控制。

       Security Bugs 安全問題

       除了源於賦予像腳本一樣靈活的系統特權這類明顯的問題,在許多Unix版本中,set-
       id腳本從一開始就是天生不安全的。問題出在內核的條件競爭。在內核打開文件來查看應該運行哪個解釋器和當(現在已set-
       id)解釋器回過頭來重新打開文件並解釋它的這兩個事件之間,可疑的文件也許已經改變了,特別是當系統中有符號連接時。

       幸運的是,這個內核的“特性”有時可以被關閉。不幸的是,有兩個方法來關閉它。系統可以簡單的宣佈任何含有set-
       id位的腳本都是不合法的,這個顯然用處不大。另一個是忽略腳本中的set-
       id位。如果後者被設置爲真,那麼當Perl注意到其它腳本中無效的setuid/gid位時,它可以模仿
       setuid和setgid的機制。這是通過一個叫做suidperl的特殊程序來實現的,它在需要時自動被調用。

       但是,如果內核的set-id腳本特性沒有被關閉,Perl就會大聲抱怨你的set-
       id程序是不安全的。你要麼需要關閉內核的set-id腳本特性,要麼爲腳本製作一個C Wrapper。一個C
       Wrapper就是一個除了調用你的Perl程序其他什麼都不幹的已編譯程序。已編譯程序不受此內核問題的影響去找set-
       id腳本的麻煩。這裏有一個簡單的C Wrapper:

           #define REAL_PATH "/path/to/script"
           main(ac, av)
               char **av;
           {
               execv(REAL_PATH, av);
           }

       把此C Wrapper編譯成可執行二進制文件,對它setuid或setgid而不是你的腳本。

       近幾年,軟件商開始提供沒有此安全問題的系統。在它們中,當內核把將要被打開的set-
       id腳本的名字傳遞給解釋器時,它將不會傳遞可能出現問題的路徑名而是傳遞/dev/fd/3。這是一個已經在腳本上打開的特殊文件,所以將不會出現條件競爭問題。在這些系統中,Perl需要在編譯時帶上-DSETUID_SCRIPTS_ARE_SECURE_NOW參數。Configure程序將自己完成這個任務,所以你永遠不必要自己指出此點。現在SVR4和BSD4.4都採用此種方法來避免內核條件競爭。

       在Perl 5.6.1 發行之前,suidperl的代碼問題可能導致安全漏洞。

       Protecting Your Programs 保護你的程序

       有很多種方法可以隱藏你的Perl程序源代碼,它們具有不同等級的“安全性”。

       首先,你不能去掉“讀”權限,因爲源代碼必須在被讀取之後才能編譯和解釋。(這並不意味着CGI腳本的源代碼在網上是可被讀取的)所以你必須把權限設置爲對外界友好的0755。這使在你本地系統上的人只能查看源代碼。

       一些人錯誤的認爲這是一個安全問題。如果你的程序不安全,而你依賴人們不知道如何利用這些漏洞,這是不安全的。通常某些人在沒有看源代碼的情況下就可以利用這些漏洞。以隱藏來實現所謂的“安全”而不是修復漏洞,是非常不安全的。

       你可以試着通過源代碼過濾器(CPAN上的Filter::*)來實現加密。但是駭客有可能把它解密。你可以試着使用下面描述的字節碼編譯器和解釋器,但是駭客有可能把它反編譯。這些對想看你代碼的人造成不同難度的困難。但是沒有一種可以完全的避免(不光是Perl,所有語言都一樣)。

       如果你擔心有人會通過你的程序得利,那麼你可以在最低行寫一個限制性的許可證來尋求法律保護。當然如果你用類似“這是某某公司的私人程序,你無權使用它”的聲明來授權你的軟件併發布它的話,那會是非常危險的。你應該找一個律師確定你的許可證的措辭可以在法庭上站得住腳。

       Unicode

       Unicode is a new and complex technology and one may easily overlook certain security
       pitfalls.  See perluniintro for an overview and perlunicode for details, and "Security
       Implications of Unicode" in perlunicode for security implications in particular.

       Algorithmic Complexity Attacks

       Certain internal algorithms used in the implementation of Perl can be attacked by choosing
       the input carefully to consume large amounts of either time or space or both.  This can
       lead into the so-called Denial of Service (DoS) attacks.

       ·   Hash Function - the algorithm used to "order" hash elements has been changed several
           times during the development of Perl, mainly to be reasonably fast.  In Perl 5.8.1
           also the security aspect was taken into account.

           In Perls before 5.8.1 one could rather easily generate data that as hash keys would
           cause Perl to consume large amounts of time because internal structure of hashes would
           badly degenerate.  In Perl 5.8.1 the hash function is randomly perturbed by a
           pseudorandom seed which makes generating such naughty hash keys harder.  See
           "PERL_HASH_SEED" in perlrun for more information.

           The random perturbation is done by default but if one wants for some reason emulate
           the old behaviour one can set the environment variable PERL_HASH_SEED to zero (or any
           other integer).  One possible reason for wanting to emulate the old behaviour is that
           in the new behaviour consecutive runs of Perl will order hash keys differently, which
           may confuse some applications (like Data::Dumper: the outputs of two different runs
           are no more identical).

           Perl has never guaranteed any ordering of the hash keys, and the ordering has already
           changed several times during the lifetime of Perl 5.  Also, the ordering of hash keys
           has always been, and continues to be, affected by the insertion order.

           Also note that while the order of the hash elements might be randomised, this
           "pseudoordering" should not be used for applications like shuffling a list randomly
           (use List::Util::shuffle() for that, see List::Util, a standard core module since Perl
           5.8.0; or the CPAN module Algorithm::Numerical::Shuffle), or for generating
           permutations (use e.g. the CPAN modules Algorithm::Permute or Algorithm::FastPermute),
           or for any cryptographic applications.

       ·   Regular expressions - Perl's regular expression engine is so called NFA (Non-Finite
           Automaton), which among other things means that it can rather easily consume large
           amounts of both time and space if the regular expression may match in several ways.
           Careful crafting of the regular expressions can help but quite often there really
           isn't much one can do (the book "Mastering Regular Expressions" is required reading,
           see perlfaq2).  Running out of space manifests itself by Perl running out of memory.

       ·   Sorting - the quicksort algorithm used in Perls before 5.8.0 to implement the sort()
           function is very easy to trick into misbehaving so that it consumes a lot of time.
           Nothing more is required than resorting a list already sorted.  Starting from Perl
           5.8.0 a different sorting algorithm, mergesort, is used.  Mergesort is insensitive to
           its input data, so it cannot be similarly fooled.

       See <http://www.cs.rice.edu/~scrosby/hash/> for more information, and any computer science
       text book on the algorithmic complexity.

SEE ALSO 參見

       perlrun中關於清理環境變量的描述

中文版維護人

       nan1nan1 <nan1nan1@hotmail.com>

中文版最新更新

       2001年12月23日星期日

中文手冊頁翻譯計劃

       http://cmpp.linuxforum.net

       

       本頁面中文版由中文 man 手冊頁計劃提供。
       中文 man 手冊頁計劃:https://github.com/man-pages-zh/manpages-zh