Shell脚本安全实践：最小权限原则与实现

1. Shell脚本安全性的核心挑战

在Linux/Unix系统管理中，Shell脚本就像一把双刃剑。我见过太多因为脚本权限失控导致的惨痛案例：某次数据库备份脚本被普通用户意外执行导致表锁死；一个本应只读的日志分析脚本被修改后成了数据泄露通道。这些事故的根源都在于忽视了最基本的权限管理原则。

最小权限原则(Principle of Least Privilege)不是什么新概念，但却是Shell脚本安全中最容易被忽视的一环。它的核心理念很简单：任何脚本只应拥有完成其功能所必需的最低权限。听起来容易？实际操作中，90%的脚本都存在过度授权问题。

2. 权限最小化的实现路径

2.1 文件系统权限控制

先看这个典型的错误示范：

bash复制chmod 777 backup.sh  # 灾难性的授权方式

正确的权限设置应该像手术刀般精确：

bash复制chmod 750 admin_script.sh  # 所有者：rwx，所属组：r-x，其他：无权限
chmod u=rwx,g=rx,o= script.sh  # 等价写法

关键技巧：

• 使用数字模式时，建议755（公开脚本）或750（内部脚本）
• 对于含敏感信息的脚本，考虑600权限（仅所有者可读写）
• 特殊场景下可以配合setgid位（2750）确保组权限继承

警告：永远不要为了方便调试而给脚本777权限，这相当于把服务器root密码写在公告栏上

2.2 用户与组策略设计

我参与过的一个金融项目是这样设计的：

1. 创建专用系统用户app_runner
2. 建立功能组log_reader、db_backup等
3. 脚本所有权归属：

   bash复制chown app_runner:db_backup db_export.sh
   chmod 750 db_export.sh
   

这种架构的优势在于：

• 每个脚本有明确的执行上下文
• 通过组权限实现横向隔离
• 审计时可以精准追踪责任链

2.3 sudo策略精细化配置

代替粗暴的sudo su，应该这样配置/etc/sudoers：

sudoers复制# 允许backup用户无需密码执行特定备份脚本
backup ALL=(app_owner) NOPASSWD: /usr/local/scripts/db_backup.sh

# 开发团队可以带密码执行部署脚本
%dev_team ALL=(deploy_user) /usr/local/scripts/deploy_*.sh

注意事项：

• 使用visudo命令编辑，避免语法错误导致锁死系统
• 限制可以执行的命令路径（避免通配符滥用）
• 考虑是否需要保留命令日志（加上LOG_INPUT和LOG_OUTPUT）

3. 脚本内部的权限控制

3.1 运行时权限检测

在脚本开头加入这些安全检查：

bash复制#!/bin/bash

# 验证执行用户
if [ "$(whoami)" != "oracle" ]; then
    echo "错误：本脚本必须由oracle用户执行" >&2
    exit 1
fi

# 检查sudo权限
if [ -n "$SUDO_USER" ]; then
    echo "警告：请勿通过sudo执行本脚本" >&2
    exit 2
fi

3.2 敏感操作保护

对于危险命令，可以这样包装：

bash复制safe_rm() {
    # 限制删除操作只能在指定目录执行
    [[ "$1" =~ ^/var/tmp/ ]] || {
        echo "只允许删除/var/tmp下的文件"
        return 1
    }
    /bin/rm "$@"
}

3.3 环境隔离技巧

这是我常用的安全初始化代码：

bash复制# 重置环境变量
export PATH="/usr/local/bin:/usr/bin:/bin"
unset LD_LIBRARY_PATH

# 限制umask
umask 0027  # 创建的文件默认权限640

# 使用私有临时目录
export TMPDIR=$(mktemp -d /tmp/script_XXXXXX)
trap 'rm -rf "$TMPDIR"' EXIT

4. 高级防御策略

4.1 文件系统属性加固

除了基本权限，还可以使用这些底层保护：

bash复制# 防止脚本被修改
chattr +i critical_script.sh

# 只允许追加日志文件
chattr +a /var/log/script.log

# 使用ACL进行精细控制
setfacl -m u:audit:r-- /etc/scripts/config.sh

4.2 命名空间隔离

对于高安全需求场景，可以考虑：

bash复制# 创建临时命名空间
unshare --map-root-user --net --pid --fork bash <<'EOF'
# 这里运行的代码在隔离环境中
ip link set lo up
mount -t proc none /proc
./sandboxed_script.sh
EOF

4.3 安全审计方案

建议的审计策略：

1. 使用auditd监控关键脚本：

   bash复制auditctl -w /usr/local/scripts/ -p war -k sensitive_scripts
   

2. 记录sudo命令执行：

   sudoers复制Defaults logfile=/var/log/sudo.log
   Defaults log_input, log_output
   

3. 定期检查脚本校验和：

   bash复制find /usr/local/scripts -type f -exec sha256sum {} + > /var/checksums/$(date +%F).log
   

5. 典型场景实战

5.1 数据库备份脚本

这是我为一个电商平台设计的备份方案：

bash复制#!/bin/bash
# 必须由postgres用户执行
[[ $(id -un) == "postgres" ]] || exit 1

# 限制输出目录
BACKUP_DIR="/backups/db/$(date +%Y%m%d)"
mkdir -p "$BACKUP_DIR" || exit 1
chmod 750 "$BACKUP_DIR"

# 使用最小权限角色
PGPASSFILE=$(mktemp)
trap 'rm -f "$PGPASSFILE"' EXIT
echo "*:*:*:backup_user:$(cat /etc/backup.pwd)" > "$PGPASSFILE"
chmod 600 "$PGPASSFILE"

pg_dump -U backup_user -Fc maindb > "$BACKUP_DIR/maindb.dump"

5.2 日志轮转脚本

生产环境日志处理方案：

bash复制#!/bin/bash
# 必须由root执行但限制能力
[[ $(id -u) -eq 0 ]] || exit 1

# 限制可以操作的日志目录
LOG_DIR="/var/log/app/"
CONFIG="/etc/logrotate.d/app"

# 使用最小权限的logrotate
runuser -u logrotate -- /usr/sbin/logrotate -s /var/lib/logrotate/app.status "$CONFIG"

# 修正生成的日志文件权限
find "$LOG_DIR" -type f -name '*.gz' -exec chmod 640 {} +

5.3 自动化部署脚本

安全的CI/CD实现方案：

bash复制#!/bin/bash
# 由jenkins用户通过sudo以app_user身份执行

# 验证调用链
[[ "$SUDO_USER" == "jenkins" ]] || exit 1
[[ "$USER" == "app_user" ]] || exit 1

# 限制部署目录
DEPLOY_ROOT="/opt/app/versions"
VERSION=$(date +%Y%m%d_%H%M%S)
CURRENT="/opt/app/current"

mkdir "$DEPLOY_ROOT/$VERSION" || exit 1
tar xzf "$1" -C "$DEPLOY_ROOT/$VERSION"

# 原子切换版本
ln -snf "$DEPLOY_ROOT/$VERSION" "$CURRENT.tmp"
mv -T "$CURRENT.tmp" "$CURRENT"

6. 常见陷阱与解决方案

6.1 权限继承问题

典型错误：

bash复制./script.sh  # 如果脚本没有执行权限但用户有读权限，某些解释器仍会执行

正确做法：

bash复制# 明确指定解释器
bash script.sh

# 或者确保脚本有正确权限
chmod a+x script.sh

6.2 临时文件竞争

危险代码：

bash复制# /tmp目录下的预测性文件名
TEMP_FILE="/tmp/backup.tmp"

安全方案：

bash复制# 使用mktemp创建唯一文件
TEMP_FILE=$(mktemp /tmp/backup_XXXXXX)
trap 'rm -f "$TEMP_FILE"' EXIT

6.3 密码泄露风险

绝对要避免：

bash复制# 密码明文写在脚本中
PASSWORD="123456"

推荐方案：

bash复制# 从受限权限文件中读取
PASSWORD_FILE="/etc/script.pwd"
chmod 600 "$PASSWORD_FILE"
PASSWORD=$(<"$PASSWORD_FILE")

7. 安全加固检查清单

这是我多年总结的审计要点：

1. 文件权限检查

   bash复制find /path/to/scripts -type f -perm /o=w  # 查找其他用户可写的脚本
   

2. 特殊权限标记

   bash复制find / -type f \( -perm -4000 -o -perm -2000 \)  # 查找SUID/SGID文件
   

3. 脚本内容扫描

   bash复制grep -r "password\|passwd\|key\|secret" /etc/scripts/
   

4. 用户权限验证

   bash复制sudo -l  # 查看当前用户的sudo权限
   

5. 文件完整性检查

   bash复制aide --check  # 使用AIDE检测文件变更
   

8. 工具链推荐

8.1 静态分析工具

• ShellCheck：检测脚本语法问题和安全隐患

  bash复制shellcheck -x script.sh
  

• Bandit：Python写的安全扫描工具

  bash复制bandit -r /path/to/scripts
  

8.2 动态监控工具

• Auditd：内核级审计系统

  bash复制auditctl -l  # 查看当前审计规则
  

• Lynis：系统安全审计工具

  bash复制lynis audit system
  

8.3 权限管理工具

• sudo-io：记录完整的sudo会话

  sudoers复制Defaults log_input, log_output
  

• Cincan：容器化工具执行隔离

  bash复制cincan run --rm bash script.sh
  

9. 持续改进策略

1. 定期权限审查

   bash复制# 每月审核脚本权限
   find /usr/local/scripts -type f -exec ls -l {} + | tee /var/audit/script_permissions_$(date +%Y%m).log
   

2. 变更管理流程

   • 所有脚本修改需要通过代码评审
   • 使用Git记录变更历史
   • 关键脚本启用代码签名验证

3. 安全培训要点

   • 新员工Shell安全规范培训
   • 每季度安全案例分享会
   • 建立内部脚本代码库模板

在实际运维中，我发现很多团队在紧急情况下会放松权限要求，但正是一次次的"临时例外"累积成了重大漏洞。坚持最小权限原则需要纪律性，但这份坚持会在某个深夜让你免于一场灾难性事故。