安全脚本执行器需严格限制命令、权限与资源:仅允许白名单命令及校验参数,禁用路径遍历与shell元字符;以低权限用户运行,通过Setuid/Setgid降权;设置超时、进程组控制与输出截断;记录完整审计日志。
用 Go 写一个安全、可控的脚本执行器,核心不是“怎么运行命令”,而是“怎么限制命令、控制权限、防止越界”。直接调用 os/exec 执行用户输入的命令极其危险,必须做输入校验、路径约束、超时控制、用户隔离和资源限制。
只允许预设命令 + 参数白名单
不解析或拼接任意字符串,避免 shell 注入。定义合法命令集合,参数也限定范围:
- 用 map 或 switch 明确列出可执行命令,如
"ls","cat","date" - 参数需校验:禁止
..、/、通配符、重定向符号(>,|,;)等 - 示例:允许
cat /var/log/app.log,但拒绝cat /etc/shadow; rm -rf /或ls *.go
以低权限用户身份运行命令
Go 进程本身不要用 root 启动;执行命令时进一步降权:
- Linux 下可用
syscall.Setuid()/Setgid()切换到专用受限用户(如runner) - 提前创建该用户,并限制其 home 目录、禁止登录、禁用 shell(
/usr/sbin/nologin) - 确保目标文件/目录对这个用户仅有最小读写权限(如日志只读,配置只读)
强制超时 + 资源限制
防卡死、防耗尽 CPU 或内存:
立即学习“go语言免费学习笔记(深入)”;
- 用
context.WithTimeout包裹exec.CommandContext - Linux 下通过
syscall.SysProcAttr设置Setpgid: true,便于后续 kill 整个进程组 - 结合
cgroups(需 root 权限)或外部工具(如timeout命令)限制 CPU 时间与内存上限
输出截断 + 错误隔离
防止大输出撑爆内存或泄露敏感信息:
- 用
io.LimitReader限制 stdout/stderr 总大小(如最多 1MB) - 错误输出单独捕获,不混入正常结果;非零退出码应明确返回错误状态,而非静默忽略
- 日志记录命令、用户、开始/结束时间、退出码、截断提示(如 “output truncated at 1048576 bytes”)
基本上就这些——重点不在“让命令跑起来”,而在“让它跑得明白、跑得受控、跑得安心”。不复杂但容易忽略的是权限切换和参数白名单,这两步做扎实,90% 的风险就挡住了。
