11.10 Temporäre Dateien 

Manchmal benötigt man für ein Skript eine oder mehrere temporäre Datei(en). Zur Erzeugung einer solchen Datei gibt es verschiedene Verfahren.
Verzeichnis wählen
Zunächst einmal lässt sich über den Ort debattieren, an dem eine solche Datei erstellt werden soll. Das könnte das aktuelle Arbeitsverzeichnis, das Verzeichnis /tmp oder auch jedes andere Verzeichnis sein. Es empfiehlt sich jedoch, für temporäre Dateien auch das Verzeichnis für temporäre Dateien (also /tmp) zu verwenden.
Dateinamen wählen
Es ist nicht sonderlich schlau, eine Datei wie /tmp/a und /tmp/b als temporäre Datei zu verwenden. Zum einen sind diese Dateien vom Namen her recht einfallslos, was zur Folge haben kann, dass auch andere Programme oder Skripte denselben Dateinamen verwenden. [Solche Programme gehören im Übrigen in den Mülleimer.]
Zum anderen ergibt sich ein Sicherheitsproblem: Ein Angreifer könnte eine Race Condition erschaffen und ausnutzen. Sagen wir, dass Ihr Shellskript auf die folgende Weise in die Datei /tmp/a schreibt:
echo $1 > /tmp/a
Listing 11.52 Sehr verwundbarer Code
Besitzt der Angreifer auch nur einen Hauch von Hacking-Know-how, so sieht er sofort, dass dieser Code, wenn er vom Superuser ausgeführt wird, praktisch alle Türen auf einem Linux-System öffnet. Erzeugt der Angreifer nun einfach vorher einen Link von /tmp/a auf /etc/passwd, so würde der Superuser beim Aufruf des Skripts (vielleicht ohne es zu merken) die Passwortdatei überschreiben.
Wäre der Angreifer zudem in der Lage, den übergebenen Parameter $1 zu manipulieren, so könnte er den neuen Inhalt der Passwortdatei selbst gestalten. [Mehr zum Thema »Sichere Programmierung« erfahren Sie in unserem Buch »Praxisbuch Netzwerk-Sicherheit«, 2. Auflage, 2007.]
Prozess-ID
Nun könnte man meinen, dass der einfachste Weg, hier Abhilfe zu schaffen, der ist, dass man an dem Dateinamen die Prozess-ID des Shellskripts anhängt, den Skriptcode also folgendermaßen modifiziert:
echo $1 > /tmp/a.$$
Listing 11.53 Immer noch verwundbarer Code
Dies ist aber immer noch relativ unsicher, da sich Prozess-IDs unter Linux inkrementieren und daher sehr einfach voraussagen lassen. [Es sei denn, man verwendet Kernel-Patches wie GRSecurity, die randomisierte Prozess-IDs ermöglichen.]
mktemp
Eine wesentlich bessere Lösung stellt dabei das Programm mktemp dar, das beim Aufruf eine Datei im Verzeichnis /tmp erstellt. Diese Datei hat eine recht lange und vor allen Dingen zufällige Endung, die sich nur sehr schwer voraussagen lässt. Den Dateinamen gibt mktemp dabei aus. Das obige Skript ließe sich also folgendermaßen wesentlich sicherer implementieren:
echo $1 > `mktemp`
Listing 11.54 Bereits relativ sicherer Code
Das Problem besteht nun darin, dass Sie keine Ahnung haben, wie die entsprechende Datei heißt. Daher muss der Dateiname gemerkt (und am besten auch gleich nach der Verwendung wieder überschrieben) werden.
TMPFILE=`mktemp` echo $1 > $TMPFILE ... ... # Den Dateinamen in $TMPFILE überschreiben rm -f $TMPFILE TMPFILE="XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
Listing 11.55 Ein noch besser abgesicherter Code
Jetzt müsste es dem Angreifer schon gelingen, entweder den Dateinamen vorherzusagen, oder er müsste das Programm mktemp hacken und seine Version durch die des Systems ersetzen. [Dies wiederum ließe sich mit Intrusion-Detection-Systemen für Dateisysteme herausfinden. Mehr hierzu ebenfalls in unseren »Praxisbuch Netzwerk-Sicherheit«, 2. Auflage, 2007.]
Selbstverständlich ist der Inhalt der temporären Datei noch nicht unwiderruflich gelöscht, aber auch dies soll nur erwähnt werden, weil eine Lösung des Problems das eigentliche Thema (Shellskriptprogrammierung) übersteigt.