我們有個(gè)系統(tǒng), 允許執(zhí)行客戶post過(guò)來(lái)的命令, 調(diào)用ansible api 在遠(yuǎn)程系統(tǒng)上執(zhí)行命令,
應(yīng)該限制只有查詢類命令, 比如
ps -ef | grep java
netstat -anpt | grep 1234但是, 客戶可能會(huì)修改系統(tǒng), 寫的如下命令
ps -ef | grep java | rm somefile
netstat -anpt | grep 1234 | pkill someprocess是否有python的模塊或者其他方法判定命令一個(gè)命令字符串是否會(huì)對(duì)系統(tǒng)產(chǎn)生修改
我換了種做法,
每種查詢類命令比如 ps/ss, 查詢后, 一般都是做grep 操作
我們限制用戶執(zhí)行的命令種類, 比如 ps/ss, 用戶post時(shí), 選擇執(zhí)行的命令類型,
并只能添加過(guò)濾關(guān)鍵字, 格式類似于
<cmd> key1 key2 key3依次校驗(yàn) key1..., 限制key只能是單詞或包含有限的特殊字符, 拼接執(zhí)行時(shí)不會(huì)對(duì)系統(tǒng)產(chǎn)生影響的,
這類校驗(yàn)就比較簡(jiǎn)單了, 一個(gè)正則就可以確定,
如下
word_re = re.compile(r'([a-zA-Z0-9\.]+)')
greps = []
for key in keys:
matches = word_re.findall(key)
# key 包含特殊字符
if len(matches) == 0 or len(matches) > 1 or matches[0] != key:
return send_msg(from_user, f'進(jìn)程關(guān)鍵字包含特殊字符: {key}')
greps.append(f'grep -i {key}')
cmd = f'ps -ef | {"|".join(greps)}'在拼接命令后, 最終的執(zhí)行格式如下
ps -ef | grep key1 | grep key2 | grep key3這樣就達(dá)到了在用戶post關(guān)鍵字后校驗(yàn)命令僅會(huì)查詢, 不會(huì)對(duì)系統(tǒng)產(chǎn)生影響
