了解什么是竞争条件,以及它们为什么会引发安全问题。本文向您展示了如何在类 UNIX® (Unix-like)系统中处理常见的竞争条件,包括如何正确地创建锁文件、锁文件的替代者,如何处理文件系统,以及如何处理共享目录(特别是如何在 /tmp 目录下正确创建临时目录)。需要您对信号处理稍有了解。
通过一个偷窃而来的口令,Mallory 成功地登录到一台运行 Linux 的重要服务器。其帐号是一个非常受限的帐号,但是 Mallory 知道如何使用它来制造麻烦。Mallory 安装并运行了一个行为非常奇怪的小程序,该程序使用多个进程在 /tmp 目录下快速地创建和删除很多不同的符号链接文件。(符号链接文件也称为 symlink,是一种简单的文件,当被访问时,它会将请求重定向到另一个文件。)Mallory 的程序不停地创建和删除很多指向同一特殊文件(/etc/passwd,口令文件)的不同符号链接文件。
这台重要的服务器的安全措施之一是,它每天都运行 Tripwire —— 具体地说,是较老的 2.3.0 版本。Tripwire 是一个检测重要文件是否被篡改的安全程序。与很多程序一样,Tripwire 启动时会尝试着创建一个临时文件。Tripwire 会查看并断定不存在名为“/tmp/twtempa19212”的文件,所以看起来这是一个合适的临时文件名称。但是在 Tripwire 完成检查后,Mallory 的程序就会使用该名称创建一个符号链接文件。这不是偶然的;Mallory 程序的设计目标就是创建最有可能为 Tripwire 所使用的文件名。然后 Tripwire 就会打开该文件,开始写入临时信息,但不用创建新的空文件,Tripwire 现在正在重写口令文件!从那时起,任何人 —— 甚至是管理员 —— 都不能登录到该系统,因为口令文件已经被破坏了。更糟的是,Mallory 的攻击完全可以覆盖所有文件,包括服务器上存储的重要数据。
以上片段摘自:http://www.ibm.com/developerworks/cn/linux/l-sprace.html
这是我发现的一篇解释竞争条件的一个非常好的例子。操作系统习题中有这样一道题,
“对于多线程程序来说,对共享数据加锁可以有效避免冲突。现在有一个共享数据和多个线程,线程只有获得锁才能访问共享数据,问这样还会出现“竞争条件”(race condition) 吗?”。看了上面的例子,我豁然理解,因为有可能在你使用完共享数据(上文中的临时文件)短暂地释放锁后,有其他进程篡改了共享对象内容,或是像上面的攻击似地,利用系统使用临时文件名作为参数来进行写操作的不严谨的地方,在tripwire创建完临时文件后,创建一个链接到系统文件来破坏系统。至于自己多线程中出现这种情况就是编程者不细心了~
文章中最后说,解决那个攻击问题的办法就是不要用文件名来修改你创建的文件,因为你无法保证那个名字还对应着你创建的文件。解决方法之一就是用文件句柄之类的东西唯一标示一个文件。