我想知道是否有人可以帮助我这个,我试着弄清楚如何处理检查时间,使用时间问题以及在不需要时删除权限,以防万一例如它是象征性的链接到可以更改为说影子文件的文件。假设在调用进程以提升的权限运行时调用以下函数。
int
updatefile(char *file)
{
int fd;
if (access(file, R_OK|W_OK)) {
perror("access()");
return (-1);
}
fd = open(file, O_RDWR);
/*
* file is written to here.
*/
printf("Updated %s on...\n", file);
system("date");
/*
* elevated privileges are required here...
*/
return (0);
}
答案 0 :(得分:3)
假设您的access函数检查文件类型并确定用户是否具有操纵文件的相应权限,您担心调用access和调用之间可能存在TOCTTOU错误到open。
避免这种情况的典型方法是:
int updatefile(char *file)
{
int fd = -1;
if(-1 != (fd = open(file, R_OK | W_OK)))
{
struct stat buf;
if(0 == fstat(fd, &buf))
{
/* perform any necessary check on the here */
/* do what ever else you need to do */
/* write to the file here */
/* gain elevated permissions here */
/* do privileged task */
/* drop back to normal permissions here */
close(fd);
}
else
{
/* handle error stating the file */
}
}
else
{
/* handle error for not opening file */
}
}
这个工作的原因是,我们推迟对文件进行任何检查,直到我们得到文件的“句柄”。我们可以判断用户是否没有权限通过外部else块中的errno值打开文件;
如果我们能够获得文件的“句柄”,那么我们可以做我们想要的任何检查。因为我们从打开文件的时间开始维护“句柄”,直到我们执行检查时,最后在我们使用文件时;恶意将无法在检查和使用之间修改文件系统。
希望这会有所帮助 T.