Будет ли Ansible предотвращать выполнение 'rm -rf /' в сценарии оболочки

23

Это основано на этом обманном вопросе здесь. Описанная проблема заключается в использовании bash-скрипта, который содержит что-то вроде:

rm -rf {pattern1}/{pattern2}

... который, если оба шаблона включают в себя один или несколько пустых элементов, будет расширен по крайней мере до одного экземпляра rm -rf /, при условии, что исходная команда была расшифрована правильно, и OP выполнял расширение фигурных скобок, а не расширение параметров .

В объяснении ОП об обмане он заявляет:

Команда [...] безвредна, но кажется, что почти никто не заметил.

Инструмент Ansible предотвращает эти ошибки, [...] но, похоже, никто не знал об этом, иначе они бы знали, что описанное мной не могло произойти.

Итак, предположим, что у вас есть сценарий оболочки, который выдает rm -rf /команду через расширение скобок или расширение параметров, верно ли использование Ansible предотвратит выполнение этой команды, и если да, то как он это сделает?

Действительно ли выполнение rm -rf /с привилегиями root действительно «безвредно», если вы используете Ansible для этого?

aroth
источник
4
Я обсудил, что делать с этим вопросом, но в конечном итоге я решил выразить свое недовольство и ответить на него, чтобы продвинуться к тому, чтобы окончательно оставить этот весь этот жалкий смешной беспорядок в прошлом, где он находится.
Майкл Хэмптон
Я думаю, что ответ действительно лежит в rmисточнике, который я проанализировал ниже.
Аарон Холл

Ответы:

54

У меня есть виртуальные машины, давайте взорвать их кучу! Для науки.

[root@diaf ~]# ansible --version
ansible 2.0.1.0
  config file = /etc/ansible/ansible.cfg
  configured module search path = Default w/o overrides

Первая попытка:

[root@diaf ~]# cat killme.yml 
---
- hosts: localhost
  gather_facts: False
  tasks:
    - name: Die in a fire
      command: "rm -rf {x}/{y}"
[root@diaf ~]# ansible-playbook -l localhost -vvv killme.yml
Using /etc/ansible/ansible.cfg as config file
1 plays in killme.yml

PLAY ***************************************************************************

TASK [Die in a fire] ***********************************************************
task path: /root/killme.yml:5
ESTABLISH LOCAL CONNECTION FOR USER: root
localhost EXEC /bin/sh -c '( umask 22 && mkdir -p "` echo $HOME/.ansible/tmp/ansible-tmp-1461128819.56-86533871334374 `" && echo "` echo $HOME/.ansible/tmp/ansible-tmp-1461128819.56-86533871334374 `" )'
localhost PUT /tmp/tmprogfhZ TO /root/.ansible/tmp/ansible-tmp-1461128819.56-86533871334374/command
localhost EXEC /bin/sh -c 'LANG=en_US.UTF-8 LC_ALL=en_US.UTF-8 LC_MESSAGES=en_US.UTF-8 /usr/bin/python /root/.ansible/tmp/ansible-tmp-1461128819.56-86533871334374/command; rm -rf "/root/.ansible/tmp/ansible-tmp-1461128819.56-86533871334374/" > /dev/null 2>&1'
changed: [localhost] => {"changed": true, "cmd": ["rm", "-rf", "{x}/{y}"], "delta": "0:00:00.001844", "end": "2016-04-20 05:06:59.601868", "invocation": {"module_args": {"_raw_params": "rm -rf {x}/{y}", "_uses_shell": false, "chdir": null, "creates": null, "executable": null, "removes": null, "warn": true}, "module_name": "command"}, "rc": 0, "start": "2016-04-20 05:06:59.600024", "stderr": "", "stdout": "", "stdout_lines": [], "warnings": ["Consider using file module with state=absent rather than running rm"]}
 [WARNING]: Consider using file module with state=absent rather than running rm


PLAY RECAP *********************************************************************
localhost                  : ok=1    changed=1    unreachable=0    failed=0

Итак command просто передаем литералы, и ничего не происходит.

Как насчет нашего любимого обхода безопасности raw?

[root@diaf ~]# cat killme.yml
---
- hosts: localhost
  gather_facts: False
  tasks:
    - name: Die in a fire
      raw: "rm -rf {x}/{y}"
[root@diaf ~]# ansible-playbook -l localhost -vvv killme.yml
Using /etc/ansible/ansible.cfg as config file
1 plays in killme.yml

PLAY ***************************************************************************

TASK [Die in a fire] ***********************************************************
task path: /root/killme.yml:5
ESTABLISH LOCAL CONNECTION FOR USER: root
localhost EXEC rm -rf {x}/{y}
ok: [localhost] => {"changed": false, "invocation": {"module_args": {"_raw_params": "rm -rf {x}/{y}"}, "module_name": "raw"}, "rc": 0, "stderr": "", "stdout": "", "stdout_lines": []}

PLAY RECAP *********************************************************************
localhost                  : ok=1    changed=0    unreachable=0    failed=0

Не ходи снова! Насколько сложно это может быть удалить все ваши файлы?

О, но что, если они были неопределенными переменными или чем-то еще?

[root@diaf ~]# cat killme.yml
---
- hosts: localhost
  gather_facts: False
  tasks:
    - name: Die in a fire
      command: "rm -rf {{x}}/{{y}}"
[root@diaf ~]# ansible-playbook -l localhost -vvv killme.yml
Using /etc/ansible/ansible.cfg as config file
1 plays in killme.yml

PLAY ***************************************************************************

TASK [Die in a fire] ***********************************************************
task path: /root/killme.yml:5
fatal: [localhost]: FAILED! => {"failed": true, "msg": "'x' is undefined"}

NO MORE HOSTS LEFT *************************************************************
        to retry, use: --limit @killme.retry

PLAY RECAP *********************************************************************
localhost                  : ok=0    changed=0    unreachable=0    failed=1

Ну, это не сработало.

Но что, если переменные определены, но пусты?

[root@diaf ~]# cat killme.yml 
---
- hosts: localhost
  gather_facts: False
  tasks:
    - name: Die in a fire
      command: "rm -rf {{x}}/{{y}}"
  vars:
    x: ""
    y: ""
[root@diaf ~]# ansible-playbook -l localhost -vvv killme.yml
Using /etc/ansible/ansible.cfg as config file
1 plays in killme.yml

PLAY ***************************************************************************

TASK [Die in a fire] ***********************************************************
task path: /root/killme.yml:5
ESTABLISH LOCAL CONNECTION FOR USER: root
localhost EXEC /bin/sh -c '( umask 22 && mkdir -p "` echo $HOME/.ansible/tmp/ansible-tmp-1461129132.63-211170666238105 `" && echo "` echo $HOME/.ansible/tmp/ansible-tmp-1461129132.63-211170666238105 `" )'
localhost PUT /tmp/tmp78m3WM TO /root/.ansible/tmp/ansible-tmp-1461129132.63-211170666238105/command
localhost EXEC /bin/sh -c 'LANG=en_US.UTF-8 LC_ALL=en_US.UTF-8 LC_MESSAGES=en_US.UTF-8 /usr/bin/python /root/.ansible/tmp/ansible-tmp-1461129132.63-211170666238105/command; rm -rf "/root/.ansible/tmp/ansible-tmp-1461129132.63-211170666238105/" > /dev/null 2>&1'
fatal: [localhost]: FAILED! => {"changed": true, "cmd": ["rm", "-rf", "/"], "delta": "0:00:00.001740", "end": "2016-04-20 05:12:12.668616", "failed": true, "invocation": {"module_args": {"_raw_params": "rm -rf /", "_uses_shell": false, "chdir": null, "creates": null, "executable": null, "removes": null, "warn": true}, "module_name": "command"}, "rc": 1, "start": "2016-04-20 05:12:12.666876", "stderr": "rm: it is dangerous to operate recursively on ‘/’\nrm: use --no-preserve-root to override this failsafe", "stdout": "", "stdout_lines": [], "warnings": ["Consider using file module with state=absent rather than running rm"]}

NO MORE HOSTS LEFT *************************************************************
        to retry, use: --limit @killme.retry

PLAY RECAP *********************************************************************
localhost                  : ok=0    changed=0    unreachable=0    failed=1

Наконец, некоторый прогресс! Но это все еще жалуется, что я не использовал --no-preserve-root.

Конечно, он также предупреждает меня , что я должен попытаться использовать в fileмодуль и state=absent. Посмотрим, сработает ли это.

[root@diaf ~]# cat killme.yml 
---
- hosts: localhost
  gather_facts: False
  tasks:
    - name: Die in a fire
      file: path="{{x}}/{{y}}" state=absent
  vars:
    x: ""
    y: ""
[root@diaf ~]# ansible-playbook -l localhost -vvv killme.yml    
Using /etc/ansible/ansible.cfg as config file
1 plays in killme.yml

PLAY ***************************************************************************

TASK [Die in a fire] ***********************************************************
task path: /root/killme.yml:5
ESTABLISH LOCAL CONNECTION FOR USER: root
localhost EXEC /bin/sh -c '( umask 22 && mkdir -p "` echo $HOME/.ansible/tmp/ansible-tmp-1461129394.62-191828952911388 `" && echo "` echo $HOME/.ansible/tmp/ansible-tmp-1461129394.62-191828952911388 `" )'
localhost PUT /tmp/tmpUqLzyd TO /root/.ansible/tmp/ansible-tmp-1461129394.62-191828952911388/file
localhost EXEC /bin/sh -c 'LANG=en_US.UTF-8 LC_ALL=en_US.UTF-8 LC_MESSAGES=en_US.UTF-8 /usr/bin/python /root/.ansible/tmp/ansible-tmp-1461129394.62-191828952911388/file; rm -rf "/root/.ansible/tmp/ansible-tmp-1461129394.62-191828952911388/" > /dev/null 2>&1'
fatal: [localhost]: FAILED! => {"changed": false, "failed": true, "invocation": {"module_args": {"backup": null, "content": null, "delimiter": null, "diff_peek": null, "directory_mode": null, "follow": false, "force": false, "group": null, "mode": null, "original_basename": null, "owner": null, "path": "/", "recurse": false, "regexp": null, "remote_src": null, "selevel": null, "serole": null, "setype": null, "seuser": null, "src": null, "state": "absent", "validate": null}, "module_name": "file"}, "msg": "rmtree failed: [Errno 16] Device or resource busy: '/boot'"}

NO MORE HOSTS LEFT *************************************************************
        to retry, use: --limit @killme.retry

PLAY RECAP *********************************************************************
localhost                  : ok=0    changed=0    unreachable=0    failed=1

Хорошие новости, все! Он начал пытаться удалить все мои файлы! Но, к сожалению, это привело к ошибке. Я оставлю исправление и заставлю игровую книгу уничтожить все, используя fileмодуль в качестве упражнения для читателя.


ЗАПРЕЩАЕТСЯ запускать любые пьесы, которые вы видите за этой точкой! Вы поймете, почему через мгновение.

Наконец, для государственного переворота ...

[root@diaf ~]# cat killme.yml
---
- hosts: localhost
  gather_facts: False
  tasks:
    - name: Die in a fire
      raw: "rm -rf {{x}}/{{y}}"
  vars:
    x: ""
    y: "*"
[root@diaf ~]# ansible-playbook -l localhost -vvv killme.yml
Using /etc/ansible/ansible.cfg as config file
1 plays in killme.yml

PLAY ***************************************************************************

TASK [Die in a fire] ***********************************************************
task path: /root/killme.yml:5
ESTABLISH LOCAL CONNECTION FOR USER: root
localhost EXEC rm -rf /*
Traceback (most recent call last):
  File "/usr/lib/python2.7/site-packages/ansible/executor/process/result.py", line 102, in run
  File "/usr/lib/python2.7/site-packages/ansible/executor/process/result.py", line 76, in _read_worker_result
  File "/usr/lib64/python2.7/multiprocessing/queues.py", line 117, in get
ImportError: No module named task_result

Эта виртуальная машина - бывший попугай !

Интересно, что выше не удалось ничего сделать commandвместо raw. Это просто напечатало то же самое предупреждение об использовании fileс state=absent.

Я собираюсь сказать, что кажется, что если вы не используете rawэто, то есть некоторая защита от rmбеснования. Вы не должны полагаться на это, хотя. Я быстро просмотрел код Ansible и, обнаружив предупреждение, не нашел ничего, что могло бы фактически остановить выполнение rmкоманды.

Майкл Хэмптон
источник
10
+1 за науку. Я бы еще +1 за имя хозяина, но это было бы мошенничество; p /
Путешественник Geek
Похоже, у вас смонтирована файловая система /boot.
84104
1
@ 84104 Забавно. По чистой случайности, bootэто первая запись в каталоге /. Таким образом, файлы не были потеряны.
Майкл Хэмптон
5
@aroth Точно! Но для науки попробуйте, rm -rf {{x}}/{{y}}когда yустановлено "*". --no-preserve-rootПроверка полезна для того, что он есть, но он не будет получать вас из любой возможной ситуации; это достаточно легко обойти. Вот почему этот вопрос не был сразу воспринят как обман: принимая во внимание плохой английский и очевидные синтаксические ошибки, это правдоподобно .
Майкл Хэмптон
1
Кроме того raw, плохой cronможет быть еще один способ разрушить систему.
84104
3

Будет ли Ansible предотвращать казнь rm -rf / сценария оболочки?

Я проверил источник coreutils rm , который имеет следующее:

  if (x.recursive && preserve_root)
    {
      static struct dev_ino dev_ino_buf;
      x.root_dev_ino = get_root_dev_ino (&dev_ino_buf);
      if (x.root_dev_ino == NULL)
        error (EXIT_FAILURE, errno, _("failed to get attributes of %s"),
               quoteaf ("/"));
    }

Единственный способ стереть с корня - пройти через этот блок кода. Из этого источника :

struct dev_ino *
get_root_dev_ino (struct dev_ino *root_d_i)
{
  struct stat statbuf;
  if (lstat ("/", &statbuf))
    return NULL;
  root_d_i->st_ino = statbuf.st_ino;
  root_d_i->st_dev = statbuf.st_dev;
  return root_d_i;
}

Я понимаю, что это означает, что функция get_root_dev_ino возвращает ноль /, и, следовательно, rm завершается ошибкой.

Единственный способ обойти первый блок кода (с рекурсией) - это иметь --no-preserve-root и не использовать переменную окружения для переопределения, поэтому он должен быть явно передан в rm.

Я считаю, что это доказывает, что если Ansible явно проходит --no-preserve-rootrm не перейдет к , он не сделает этого.

Вывод

Я не верю, что Ansible явно предотвращает, rm -rf /потому что rmсам предотвращает это.

Аарон Холл
источник