2. 程式人生 > >使用fdopen對python程序產生的檔案進行許可權最小化配置

使用fdopen對python程序產生的檔案進行許可權最小化配置

阿新 發佈:2021-01-25
# 需求背景 用python進行檔案的建立和讀寫操作時,我們很少關注所建立的檔案的許可權配置。對於一些安全性較高的系統,如果我們建立的檔案許可權其他使用者或者同一使用者組裡的其他使用者有可讀許可權的話,有可能導致不必要的資訊洩漏的風險。因此,除了建立一個更加安全和隱私的個人環境之外(如容器環境等),我們還可以對生成的檔案的配置進行許可權最小化處理。 # 常用方法及其缺陷分析 常用的python檔案建立和讀寫方法,是直接通過內建的`open`函式建立一個檔案。這裡如果是使用`with`語法來建立的,結束語句後會自動關閉被開啟的物件。而如果是直接使用`open`函式來定義一個物件,則需要在任務結束時手動的執行`close`操作。以下演示內建函式`open`的用法及其檔案操作屬性,首先建立一個名為`file-test.py`的檔案: ```python # file-test.py with open('test1.txt', 'w') as file: file.write('hello world!') ``` 該任務的內容為:在當前目錄下建立一個名為`test1.txt`的檔案,清空該檔案的內容後,在檔案中寫入`hello world!`這個字串。接下來用`python3`執行該檔案: ```bash [dechin@dechin-manjaro os_security]$ python3 file-test.py [dechin@dechin-manjaro os_security]$ ll 總用量 8 -rw-r--r-- 1 dechin dechin 83 1月 25 13:43 file-test.py -rw-r--r-- 1 dechin dechin 12 1月 25 13:43 test1.txt ``` 這裡我們發現,在執行之後成功產生了`test1.txt`這個檔案,其許可權配置為`644`,與前面建立的`file-test.py`保持一致。在不清楚內建函式`open`的實現原理時,原本以為這個產生的檔案許可權配置是與當前的`py`檔案保持一致的。然而經過進一步的測試,將`py`檔案的許可權配置為`440`之後再重新執行該檔案: ```bash [dechin@dechin-manjaro os_security]$ chmod 440 file-test.py [dechin@dechin-manjaro os_security]$ ll 總用量 8 -r--r----- 1 dechin dechin 83 1月 25 13:43 file-test.py -rw-r--r-- 1 dechin dechin 12 1月 25 13:43 test1.txt [dechin@dechin-manjaro os_security]$ rm test1.txt [dechin@dechin-manjaro os_security]$ python3 file-test.py [dechin@dechin-manjaro os_security]$ ll 總用量 8 -r--r----- 1 dechin dechin 83 1月 25 13:43 file-test.py -rw-r--r-- 1 dechin dechin 12 1月 25 13:44 test1.txt ``` 這裡從測試結果我們可以看出,python的內建函式`open`產生的檔案型別是與源`py`檔案無關的。關於這裡`py`檔案的執行是否需要可執行許可權,可以參考這篇[部落格](https://www.cnblogs.com/dechinphy/p/excutable.html)。 # 改進後的python檔案建立方法 通過`fdopen`這個庫以及特殊的許可權指定,我們可以設定生成檔案的訪問許可權,以下直接展示一個python程式碼案例: ```python # fdopen-test.py import os import stat file_name = 'test2.txt' flags = os.O_WRONLY | os.O_CREAT | os.O_EXCL mode = stat.S_IRUSR | stat.S_IWUSR with os.fdopen(os.open(file_name, flags, mode), 'w') as file: file.write('hello world!') ``` 執行之後我們可以發現,當前目錄下生成了一個名為`test2.txt`的檔案,其許可權配置為`600`, 對照於我們在程式碼中設定的`mode = stat.S_IRUSR | stat.S_IWUSR`。這裡我們先對其中的一些引數作一個解釋:`os.O_WRONLY`表示以只寫的方式開啟,`os.O_CREAT`表示建立並開啟一個新檔案,`os.O_EXCL`表示如果檔案已存在則報錯。而`mode`中所配置的許可權分別對應`rwx`配置,其中`USR,GRP,OTH`又分別對`使用者、使用者組、其他使用者`進行了細分的配置,從而我們就可以通過改變`mode`引數來實現所有種類的許可權配置。 我們可以嘗試將上述用例中的`mode`作一個調整,比如新增一個可執行許可權變為`700`: ```python # fdopen-test.py import os import stat file_name = 'test3.txt' flags = os.O_WRONLY | os.O_CREAT | os.O_EXCL mode = stat.S_IRUSR | stat.S_IWUSR | stat.S_IXUSR with os.fdopen(os.open(file_name, flags, mode), 'w') as file: file.write('hello world!') ``` 又或者,我們需要為使用者組裡的其他使用者新增可訪問許可權,比如`640`許可權: ```python # fdopen-test.py import os import stat file_name = 'test4.txt' flags = os.O_WRONLY | os.O_CREAT | os.O_EXCL mode = stat.S_IRUSR | stat.S_IWUSR | stat.S_IRGRP with os.fdopen(os.open(file_name, flags, mode), 'w') as file: file.write('hello world!') ``` 甚至我們也可以寫出系統原生的`644`檔案許可權: ```python # fdopen-test.py import os import stat file_name = 'test5.txt' flags = os.O_WRONLY | os.O_CREAT | os.O_EXCL mode = stat.S_IRUSR | stat.S_IWUSR | stat.S_IRGRP | stat.S_IROTH with os.fdopen(os.open(file_name, flags, mode), 'w') as file: file.write('hello world!') ``` 最後,讓我們一起看下上面這些python示例執行後得到的結果: ```bash [dechin@dechin-manjaro os_security]$ ll 總用量 28 -rw-r--r-- 1 dechin dechin 269 1月 25 14:58 fdopen-test.py -r--r----- 1 dechin dechin 84 1月 25 14:11 file-test.py -rw-r--r-- 1 dechin dechin 12 1月 25 13:44 test1.txt -rw------- 1 dechin dechin 12 1月 25 14:44 test2.txt -rwx------ 1 dechin dechin 12 1月 25 14:48 test3.txt -rw-r----- 1 dechin dechin 12 1月 25 14:56 test4.txt -rw-r--r-- 1 dechin dechin 12 1月 25 14:58 test5.txt ``` 從結果中我們可以看出,所有產生的檔案`test*.txt`都按照我們預期的檔案許可權配置生成,到這裡我們就完成了所有預期的目標。 # 總結概要 使用python進行檔案的建立和讀寫時,常規的內建函式`open`得到的結果會是一個`644`許可權的檔案,這不一定能夠滿足很多對安全性需求較高的執行環境的要求。因此我們可以通過`fdopen`來對所建立的檔案進行進一步的許可權約束,具體的操作方法可以在`mode`中定義一系列的許可權配置,比如帶有`USR`的表示當前用來執行python檔案的使用者,帶有`GRP`的表示用來執行python檔案的整個使用者組,而`OTH`則表示其他的所有的使用者。這當中尤其是`OTH`這個選項往往是不必要開放的許可權,我們也可以根據具體的場景需求對建立的檔案許可權進行配置。這裡還有一點補充介紹的是,`os.O_EXCL`這個指令的開啟表示如果存在同名檔案就無法建立,需要先使用`os.remove`操作刪除原檔案後再進行新的檔案操作,避免檔案許可權被覆蓋或者重用,從而導致建立的新檔案許可權配置與我們所預期的不符合。 # 參考連結 1. [fdopen使用方法的問答](https://www.itranslater.com/qa/details/2582528972349244416) 2. [os.open()各配置引數解釋](https://www.runoob.com/python3/python3-os-open.html) # 版權宣告 本文首發連結為:https://www.cnblogs.com/dechinphy/p/fdopen.html 作者ID:DechinPhy 更多原著文章請參考:https://www.cnblogs.com/de

相關推薦

使用fdopenpython程序產生檔案進行許可權配置

# 需求背景 用python進行檔案的建立和讀寫操作時,我們很少關注所建立的檔案的許可權配置。對於一些安全性較高的系統,如果我們建立的檔案許可權其他使用者或者同一使用者組裡的其他使用者有可讀許可權的話,有可能導致不必要的資訊洩漏的風險。因此,除了建立一個更加安全和隱私的個人環境之外(如容器環境等),我們還可以

如何Python的類物件進行序列處理(Object of type 'BookCollection' is not JSON serializable)

  Python內建的json模組提供了非常完善的Python物件到JSON格式的轉換。 json.dumps()         將Python中的物件轉換為JSON中的字串物件json.loads()   &

Altium Designer 19中output job file檔案進行設定的幾個重要步驟

1.在已開啟的當前專案中,執行選單命令(檔案(File)→New(新的)→output job file),則會建立一個新的文件輸出檔案。 2、 選中需要列印的文件,用滑鼠右鍵點選,在彈出的選單中選擇Page Setup,則出現進行文件列印所需設定的對話方塊,在對話方塊裡選擇列印任務的紙

使用spark輸入目錄的檔案進行過濾

使用spark進行檔案過濾 在使用spark的很多情形下, 我們需要計算某個目錄的資料. 但這個資料夾下面並不是所有的檔案都是我們想要計算的 比如 : 對於某一天的資料,我們只想計算其中的幾個小時,這

利用python為excel檔案進行讀寫

1.先從讀取excel表開始吧。    讀取excel表用xlrd庫,這個pip install xlrd就可以啦    安裝好xlrd庫之後呢,我們就可以開始進行讀取了。看下面這句程式碼:data = xlrd.open_workbook('brief1.xls')xlrd

python程序檔案與多程序記錄日誌

假設有個程序,一直在寫一個名字叫做1的檔案,然後我們在它執行的過程中將檔案改名了,會發生什麼事情呢? 寫個程式試試: 然後執行它,此時可以看到: 因為程序得到了檔案的控制代碼,所以就算這個檔案改名為2了,它也會繼續往2這個檔案寫入的。 這樣也就解釋了apache在lin

sys、cat檔案進行數字簽名

管理員許可權開啟VS 工具->Visual Studio命令提示 輸入命令:makecert -r -pe -ss Ctcloud -n CN=Ctcloud.com(Test) xxx.cer 生成cer證書檔案 備註:Ctcloud 、Ct

(未完)python讀Json檔案進行資料分析

這是一個不想繼續下去(各種Bug,)。。。。有興趣的小夥伴可以交流一下 import numpy as np import pandas as pd import matplotlib.pyplot as plt df = pd.read_json('data.json',

md5sum下載傳輸的檔案進行安全性校驗

        linux系統在生產環境下載軟體或者傳輸檔案時,為了系統的安全性,往往都需要對傳輸的檔案進行md5校驗。 MD5演算法一般用於檢查檔案完整性,尤其常用於檢測在(網路)檔案傳輸、拷貝、磁碟

python中的字典進行排序

1、按鍵排序 方法1:最簡單的方法,排列元素(key/value對),然後挑出值。字典的items方法,會返回一個元組的列表,其中每個元組都包含一對專案 ——鍵與對應的值。此時排序可以sort()方法。 def sortedDictValues1(adict): 

封裝一個磁碟,資料夾,檔案進行遍歷的類

{protected:    //記錄磁碟的串    std::vector<CString> m_strDisk;    //記錄資料夾的串     std::vector<CString> m_strFolder;    //記錄檔案的串     std::vector<CS

python實現時間o(1)的

one ack 最後一個元素 odin pop print log == div 這是畢業校招二面時遇到的手寫編程題,當時剛剛開始學習python,整個棧寫下來也是費了不少時間。畢竟語言只是工具,只要想清楚實現,使用任何語言都能快速的寫出來。 何為最小棧?棧最基礎的操作是壓

Delphi 程序到任務欄托盤 增加右鍵PopMenu

控制 comment 處理 popu 是否 caf AC oar RM 在做中間層時,中間層往往不需要點擊關閉時立刻關閉,而是最小化到托盤。故而特意隱藏關閉按鈕功能。 1)隱藏退出功能 用PopMenu退出菜單代替 1.增加popMe

C#到托盤+雙擊托盤恢復+禁止運行多個該程序

create obj csdn HA etc chan HR 添加 圖標 托盤程序的制作: 1.添加notifyIcon控件,並添加Icon,否則托盤沒有圖標(托盤右鍵菜單也可直接在屬性裏添加);2.響應Form的Resize或SizeChanged消息: // H

第十四屆華中科技大學程序設計競賽 K Walking in the Forest【二分答案/大值】

ica ride int lib namespace coder 浪費 first efi 鏈接:https://www.nowcoder.com/acm/contest/106/K 來源:牛客網 題目描述 It’s universally acknowledged t

利用Python叠代器查找值和大值

urn 最大值 我們 lse dmi tuple 利用 spa 如同 叠代器的用法為for...in.... 叠代器如同for循環,可以遍歷所有的值,但我們熟悉的的語言,都是通過下標完成的,python的循環程度要高於C語言的循環,因為python的叠代不止可以用在Lis

python 三維數組找

div class 第一個元素 聲明 value span for pri main #聲明三維數組 num=[[[33,45,67],[23,71,66],[55,38,66]], [[21,9,15],[38,69,18],[90,101,89]]] v

【leetcode】#陣列【Python】64. Minimum Path Sum 路徑和

連結: 題目: 給定一個包含非負整數的 m x n 網格,請找出一條從左上角到右下角的路徑,使得路徑上的數字總和為最小。 說明:每次只能向下或者向右移動一步。 示例: 輸入: [ [1,3,

DFA通過“分割法”進行

如果想看NFA轉換成DFA,請關注我找到子集構造法NFA轉換成DFA這一篇 或者點選這個:https://blog.csdn.net/zcb1592781470/article/details/84643101 FA的最小化就是尋求最小狀態DFA 最小狀態DFA的含義:  1.

Python:程式到托盤功能實現

  本文講解如何裝python的開發的命令列程式最小化到托盤的方法,並提供選單操作功能。   上個月使用python實現了一個多功能抓圖工具,見《Python:一個多功能的抓圖工具開發(附原始碼)》,此程式為一個命令列程式,windows下執行時會彈出一個cmd視窗,裡面什