在Python中避免文件权限检查的竞争条件

一个应用程序想要解析并“执行”一个文件，并且出于安全原因，它希望确认这个文件是可以执行的。

稍微想一下，你就会发现这段初始代码存在一个竞争条件，这让安全措施变得无效：

import os

class ExecutionError (Exception):
    pass

def execute_file(filepath):
    """Execute serialized command inside @filepath

    The file must be executable (comparable to a shell script)
    >>> execute_file(__file__)  # doctest: +ELLIPSIS
    Traceback (most recent call last):
        ...
    ExecutionError: ... (not executable)
    """
    if not os.path.exists(filepath):
        raise IOError('"%s" does not exist' % (filepath, ))
    if not os.access(filepath, os.X_OK):
        raise ExecutionError('No permission to run "%s" (not executable)' %
                filepath)

    data = open(filepath).read()

    print '"Dummy execute"'
    print data

这个竞争条件存在于

os.access(filepath, os.X_OK)

和

data = open(filepath).read()

之间，因为在这两个系统调用之间，文件有可能被覆盖成一个内容不同且不可执行的文件。

我第一个想到的解决方案是改变关键调用的顺序（并跳过现在多余的存在性检查）：

fobj = open(filepath, "rb")
if not os.access(filepath, os.X_OK):
    raise ExecutionError('No permission to run "%s" (not executable)' %
            filepath)

data = fobj.read()

这样能解决竞争条件吗？我该如何正确解决这个问题呢？

安全方案的基本思路（我认为）

这个文件能够在它的环境中执行任意命令，所以它可以和一个 shell 脚本相提并论。

在免费的桌面环境中，有一个关于 .desktop 文件的安全漏洞，这些文件定义了应用程序：文件可以指定任何可执行文件和参数，并且可以选择自己的图标和名称。因此，一个随机下载的文件可以伪装成任何名称或图标，做任何事情。这是非常糟糕的。

这个问题的解决办法是要求 .desktop 文件必须设置可执行位，否则它们不会显示名称和图标，系统会在启动程序之前询问用户是否要继续。

这和 Mac OS X 的设计非常好地对比：“这个程序是从网上下载的，你确定要打开吗？”

所以结合这个比喻，以及你必须对下载的 shell 脚本使用 chmod +x 的事实，我想到了上面问题中的设计。

结束语

也许总结一下，我们应该保持简单：如果文件必须是可执行的，就让它可执行，并让内核在用户调用时执行它。把任务委托给它应该去的地方。