資訊專欄INFORMATION COLUMN
摘要:每次在命令行中輸入一串命令,敲入回車,終端進(jìn)程都會一個子進(jìn)程,用來執(zhí)行輸入的命令,終端進(jìn)程通過系統(tǒng)調(diào)用監(jiān)聽子進(jìn)程退出,同時通過暴露的輸出子進(jìn)程執(zhí)行信息。父進(jìn)程通過創(chuàng)建該的實現(xiàn)向子進(jìn)程從設(shè)備的輸入輸出。
背景
terminal(命令行)作為本地IDE普遍擁有的功能,對項目的git操作以及文件操作有著非常強(qiáng)大的支持。對于WebIDE,在沒有web偽終端的情況下,僅僅提供封裝的命令行接口是完全不能滿足開發(fā)者使用,因此為了更好的用戶體驗,web偽終端的開發(fā)也就提上日程。
調(diào)研關(guān)于終端(tty)與偽終端(pty)的區(qū)別,大家可以參考What do pty and tty mean?
終端,在我們認(rèn)知范圍內(nèi)略同于命令行工具,通俗點(diǎn)說就是可以執(zhí)行shell的進(jìn)程。每次在命令行中輸入一串命令,敲入回車,終端進(jìn)程都會fork一個子進(jìn)程,用來執(zhí)行輸入的命令,終端進(jìn)程通過系統(tǒng)調(diào)用wait4()監(jiān)聽子進(jìn)程退出,同時通過暴露的stdout輸出子進(jìn)程執(zhí)行信息。
如果在web端實現(xiàn)一個類似于本地化的終端功能,需要做的可能會更多:網(wǎng)絡(luò)時延及可靠性保證、shell用戶體驗盡量接近本地化、web終端UI寬高與輸出信息適配、安全準(zhǔn)入控制與權(quán)限管理等。在具體實現(xiàn)web終端之前,需要評估這些功能那些是最核心的,很明確:shell的功能實現(xiàn)及用戶體驗、安全性(web終端是在線上服務(wù)器中提供的一個功能,因此安全性是必須要保證的)。只有在保證這兩個功能的前提下,web偽終端才可以正式上線。
下面首先針對這兩個功能考慮下技術(shù)實現(xiàn)(服務(wù)端技術(shù)采用nodejs):
node原生模塊提供了repl模塊,它可以用來實現(xiàn)交互式輸入并執(zhí)行輸出,同時提供tab補(bǔ)全功能,自定義輸出樣式等功能,可是它只能執(zhí)行node相關(guān)命令,因此無法達(dá)到我們想要執(zhí)行系統(tǒng)shell的目的
node原生模塊child_porcess,它提供了spawn這種封裝了底層libuv的uv_spawn函數(shù),底層執(zhí)行系統(tǒng)調(diào)用fork和execvp,執(zhí)行shell命令。但是它未提供偽終端的其它特點(diǎn),如tab自動補(bǔ)全、方向鍵顯示歷史命令等操作
因此,服務(wù)端采用node的原生模塊是無法實現(xiàn)一個偽終端的,需要繼續(xù)探索偽終端的原理和node端的實現(xiàn)方向。
偽終端偽終端不是真正的終端,而是內(nèi)核提供的一個“服務(wù)”。終端服務(wù)通常包括三層:
最頂層提供給字符設(shè)備的輸入輸出接口
中間層的線路規(guī)程(line discipline)
底層的硬件驅(qū)動
其中,最頂層的接口往往通過系統(tǒng)調(diào)用函數(shù)實現(xiàn),如(read,write);而底層的硬件驅(qū)動程序則負(fù)責(zé)偽終端的主從設(shè)備通信,它由內(nèi)核提供;線路規(guī)程看起來則比較抽象,但是實際上從功能上說它負(fù)責(zé)輸入輸出信息的“加工”,如處理輸入過程中的中斷字符(ctrl + c)以及一些回退字符(backspace 和 delete)等,同時轉(zhuǎn)換輸出的換行符n為rn等。
一個偽終端分為兩部分:主設(shè)備和從設(shè)備,他們底層通過實現(xiàn)默認(rèn)線路規(guī)程的雙向管道連接(硬件驅(qū)動)。偽終端主設(shè)備的任何輸入都會反映到從設(shè)備上,反之亦然。從設(shè)備的輸出信息也通過管道發(fā)送給主設(shè)備,這樣可以在偽終端的從設(shè)備中執(zhí)行shell,完成終端的功能。
偽終端的從設(shè)備中,可以真實的模擬終端的tab補(bǔ)全和其他的shell特殊命令,因此在node原生模塊不能滿足需求的前提下,我們需要把目光放到底層,看看OS提供了什么功能。目前,glibc庫提供了posix_openpt接口,不過流程有些繁瑣:
使用posix_openpt打開一個偽終端主設(shè)備
grantpt設(shè)置從設(shè)備的權(quán)限
unlockpt解鎖對應(yīng)的從設(shè)備
獲取從設(shè)備名稱(類似 /dev/pts/123)
主(從)設(shè)備讀寫,執(zhí)行操作
因此出現(xiàn)了封裝更好的pty庫,僅僅通過一個forkpty函數(shù)便可以實現(xiàn)上述所有功能。通過編寫一個node的c++擴(kuò)展模塊,搭配pty庫實現(xiàn)一個在偽終端從設(shè)備執(zhí)行命令行的terminal。
關(guān)于偽終端安全性的問題,我們在文章的最后在進(jìn)行討論。
偽終端實現(xiàn)思路根據(jù)偽終端的主從設(shè)備的特性,我們在主設(shè)備所在的父進(jìn)程中管理偽終端的生命周期及其資源,在從設(shè)備所在的子進(jìn)程中執(zhí)行shell,執(zhí)行過程中的信息及結(jié)果通過雙向管道傳輸給主設(shè)備,由主設(shè)備所在的進(jìn)程向外提供stdout。
在此處借鑒pty.js的實現(xiàn)思路:
pid_t pid = pty_forkpty(&master, name, NULL, &winp);
switch (pid) {
case -1:
return Nan::ThrowError("forkpty(3) failed.");
case 0:
if (strlen(cwd)) chdir(cwd);
if (uid != -1 && gid != -1) {
if (setgid(gid) == -1) {
perror("setgid(2) failed.");
_exit(1);
}
if (setuid(uid) == -1) {
perror("setuid(2) failed.");
_exit(1);
}
}
pty_execvpe(argv[0], argv, env);
perror("execvp(3) failed.");
_exit(1);
default:
if (pty_nonblock(master) == -1) {
return Nan::ThrowError("Could not set master fd to nonblocking.");
}
Local
首先通過pty_forkpty(forkpty的posix實現(xiàn),兼容 sunOS和 unix等系統(tǒng))創(chuàng)建主從設(shè)備,然后在子進(jìn)程中設(shè)置權(quán)限之后(setuid、setgid),執(zhí)行系統(tǒng)調(diào)用pty_execvpe(execvpe的封裝),此后主設(shè)備的輸入信息都會在此得到執(zhí)行(子進(jìn)程執(zhí)行的文件為sh,會偵聽stdin);
父進(jìn)程則向node層暴露相關(guān)對象,如主設(shè)備的fd(通過該fd可以創(chuàng)建net.Socket對象進(jìn)行數(shù)據(jù)雙向傳輸),同時注冊libuv的消息隊列&baton->async,當(dāng)子進(jìn)程退出時觸發(fā)&baton->async消息,執(zhí)行pty_after_waitpid函數(shù);
最后父進(jìn)程通過調(diào)用uv_thread_create創(chuàng)建一個子進(jìn)程,用于偵聽上一個子進(jìn)程的退出消息(通過執(zhí)行系統(tǒng)調(diào)用wait4,阻塞偵聽特定pid的進(jìn)程,退出信息存放在第三個參數(shù)中),pty_waitpid函數(shù)封裝了wait4函數(shù),同時在函數(shù)末尾執(zhí)行uv_async_send(&baton->async)觸發(fā)消息。
在底層實現(xiàn)pty模型后,在node層需要做一些stdio的操作。由于偽終端主設(shè)備是在父進(jìn)程中執(zhí)行系統(tǒng)調(diào)用的創(chuàng)建的,而且主設(shè)備的文件描述符通過fd暴露給node層,那么偽終端的輸入輸出也就通過讀寫根據(jù)fd創(chuàng)建對應(yīng)的文件類型如PIPE、FILE來完成。其實,在OS層面就是把偽終端主設(shè)備看為一個PIPE,雙向通信。在node層通過net.Socket(fd)創(chuàng)建一個套接字實現(xiàn)數(shù)據(jù)流的雙向IO,偽終端的從設(shè)備也有著主設(shè)備相同的輸入,從而在子進(jìn)程中執(zhí)行對應(yīng)的命令,子進(jìn)程的輸出也會通PIPE反應(yīng)在主設(shè)備中,進(jìn)而觸發(fā)node層Socket對象的data事件。
此處關(guān)于父進(jìn)程、主設(shè)備、子進(jìn)程、從設(shè)備的輸入輸出描述有些讓人迷惑,在此解釋。父進(jìn)程與主設(shè)備的關(guān)系是:父進(jìn)程通過系統(tǒng)調(diào)用創(chuàng)建主設(shè)備(可看做是一個PIPE),并獲取主設(shè)備的fd。父進(jìn)程通過創(chuàng)建該fd的connect socket實現(xiàn)向子進(jìn)程(從設(shè)備)的輸入輸出。 而子進(jìn)程通過forkpty 創(chuàng)建后執(zhí)行l(wèi)ogin_tty操作,重置了子進(jìn)程的stdin、stderr和stderr,全部復(fù)制為從設(shè)備的fd(PIPE的另一端)。因此子進(jìn)程輸入輸出都是與從設(shè)備的fd相關(guān)聯(lián)的,子進(jìn)程輸出數(shù)據(jù)走的是PIPE,并從PIPE中讀入父進(jìn)程的命令。詳情請看參考文獻(xiàn)之forkpty實現(xiàn)
另外,pty庫提供了偽終端的大小設(shè)置,因此我們通過參數(shù)可以調(diào)整偽終端輸出信息的布局信息,因此這也提供了在web端調(diào)整命令行寬高的功能,只需在pty層設(shè)置偽終端窗口大小即可,該窗口是以字符為單位。
web終端安全性保證基于glibc提供的pty庫實現(xiàn)偽終端后臺,是沒有任何安全性保證的。我們想通過web終端直接操作服務(wù)端的某個目錄,但是通過偽終端后臺可以直接獲取root權(quán)限,這對服務(wù)而言是不可容忍的,因為它直接影響著服務(wù)器的安全,所有需要實現(xiàn)一個:可多用戶同時在線、可配置每個用戶訪問權(quán)限、可訪問特定目錄的、可選擇配置bash命令、用戶間相互隔離、用戶無感知當(dāng)前環(huán)境且環(huán)境簡單易部署的“系統(tǒng)”。
最為適合的技術(shù)選型是docker,作為一種內(nèi)核層面的隔離,它可以充分利用硬件資源,且十分方便映射宿主機(jī)的相關(guān)文件。但是docker并不是萬能的,如果程序運(yùn)行在docker容器中,那么為每個用戶再分配一個容器就會變得復(fù)雜得多,而且不受運(yùn)維人員掌控,這就是所謂的DooD(docker out of docker)-- 通過volume “/usr/local/bin/docker”等二進(jìn)制文件,使用宿主機(jī)的docker命令,開啟兄弟鏡像運(yùn)行構(gòu)建服務(wù)。而采用業(yè)界經(jīng)常討論的docker-in-docker模式會存在諸多缺點(diǎn),特別是文件系統(tǒng)層面的,這在參考文獻(xiàn)中可以找到。因此,docker技術(shù)并不適合已經(jīng)運(yùn)行在容器中的服務(wù)解決用戶訪問安全問題。
接下來需要考慮單機(jī)上的解決方案。目前筆者只想到兩種方案:
命令A(yù)CL,通過命令白名單的方式實現(xiàn)
restricted bash
chroot,針對每個用戶創(chuàng)建一個系統(tǒng)用戶,監(jiān)禁用戶訪問范圍
首先,命令白名單的方式是最應(yīng)該排除的,首先無法保證不同release的linux的bash是相同的;其次無法有效窮舉所有的命令;最后由于偽終端提供的tab命令補(bǔ)全功能以及特殊字符如delete的存在,無法有效匹配當(dāng)前輸入的命令。因此白名單方式漏洞太多,放棄。
restricted bash,通過/bin/bash -r觸發(fā),可以限制使用者顯式“cd directory”,但有這諸多缺點(diǎn):
不足以允許執(zhí)行完全不受信任的軟件。
當(dāng)一個被發(fā)現(xiàn)是shell腳本的命令被執(zhí)行時,rbash會關(guān)閉在shell中生成的任何限制來執(zhí)行腳本。
當(dāng)用戶從rbash運(yùn)行bash或dash,那么他們獲得了無限制的shell。
有很多方法來打破受限制的bash shell,這是不容易預(yù)測的。
最后,貌似只有一個解決方案了,即chroot。chroot修改了用戶的根目錄,在制定的根目錄下運(yùn)行指令。在指定根目錄下無法跳出該目錄,因此無法訪問原系統(tǒng)的所有目錄;同時chroot會創(chuàng)建一個與原系統(tǒng)隔離的系統(tǒng)目錄結(jié)構(gòu),因此原系統(tǒng)的各種命令無法在“新系統(tǒng)”中使用,因為它是全新的、空的;最后,多個用戶使用時他們是隔離的、透明的,完全滿足我們的需求。
因此,我們最終選擇chroot作為web終端的安全性解決方案。但是,使用chroot需要做非常多的額外處理,不僅包括新用戶的創(chuàng)建,還包括命令的初始化。上文也提到“新系統(tǒng)”是空的,所有可執(zhí)行二進(jìn)制文件都沒有,如“l(fā)s,pmd”等,因此初始化“新系統(tǒng)”是必須的。可是許多二進(jìn)制文件不僅僅靜態(tài)鏈接了許多庫,還在運(yùn)行時依賴動態(tài)鏈接庫(dll),為此還需要找到每個命令依賴的諸多dll,異常繁瑣。為了幫助使用者從這種無趣的過程中解脫出來,jailkit應(yīng)運(yùn)而生。
jailkit,真好用jailkit,顧名思義用來監(jiān)禁用戶。jailkit內(nèi)部使用chroot實現(xiàn)創(chuàng)建用戶根目錄,同時提供了一系列指令來初始化、拷貝二進(jìn)制文件及其所有的dll,而這些功能都可以通過配置文件進(jìn)行操作。因此,在實際開發(fā)中采用jailkit搭配初始化shell腳本來實現(xiàn)文件系統(tǒng)隔離。
此處的初始化shell指的是預(yù)處理腳本,由于chroot需要針對每個用戶設(shè)置根目錄,因此在shell中為每個開通命令行權(quán)限的使用者創(chuàng)建對應(yīng)的user,并通過jailkit配置文件拷貝基本的二進(jìn)制文件及其dll,如基本的shell指令、git、vim、ruby等;最后再針對某些命令做額外的處理,以及權(quán)限重置。
在處理“新系統(tǒng)”與原系統(tǒng)的文件映射過程中,還是需要一些技巧。筆者曾經(jīng)將chroot設(shè)定的用戶根目錄之外的其他目錄通過軟鏈接的形式建立映射,可是在jail監(jiān)獄中訪問軟鏈接時仍會報錯,找不到該文件,這還是由于chroot的特性導(dǎo)致的,沒有權(quán)限訪問根目錄之外的文件系統(tǒng);如果通過硬鏈接建立映射,則針對chroot設(shè)定的用戶根目錄中的硬鏈接文件做修改是可以的,但是涉及到刪除、創(chuàng)建等操作是無法正確映射到原系統(tǒng)的目錄的,而且硬鏈接無法連接目錄,因此硬鏈接不滿足需求;最后通過mount --bind實現(xiàn),如 mount --bind /home/ttt/abc /usr/local/abc它通過屏蔽被掛載的目錄(/usr/local/abc)的目錄信息(block),并在內(nèi)存中維護(hù)被掛載目錄與掛載目錄的映射關(guān)系,對/usr/local/abc的訪問都會通過傳內(nèi)存的映射表查詢/home/ttt/abc的block,然后進(jìn)行操作,實現(xiàn)目錄的映射。
最后,初始化“新系統(tǒng)”完畢后,就需要通過偽終端執(zhí)行jail相關(guān)命令:
sudo jk_chrootlaunch -j /usr/local/jailuser/${creater} -u ${creater} -x /bin/bashr
開啟bash程序之后便通過PIPE與主設(shè)備接收到的web終端輸入(通過websocket)進(jìn)行通信即可。
結(jié)尾總體的設(shè)計示意圖(只列出單機(jī)單個服務(wù)進(jìn)程的處理圖,并忽略服務(wù)器前端節(jié)點(diǎn)):
線上展示:
參考文獻(xiàn)forkpty實現(xiàn)
What do pty and tty mean?
line discipline
使用 Docker-in-Docker 來運(yùn)行 CI 或集成測試環(huán)境?三思!
mount --bind和硬連接的區(qū)別
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/90062.html
摘要:云盒可以給智能設(shè)備提供穩(wěn)定的電源供應(yīng)網(wǎng)絡(luò)環(huán)境安全保障,是智能設(shè)備接入云服務(wù)的載體,具有低成本,高可靠,安全性高的特點(diǎn)。每個云盒都是管理智能終端的最小單元,多個云盒之間可以完美堆疊,可以靈活適應(yīng)各種復(fù)雜的機(jī)房環(huán)境以及各種規(guī)模的智能終端接入。 摘要: 移動測試的應(yīng)用架構(gòu) 作為一整個龐大的移動測試解決方案,MQC專有云系統(tǒng)內(nèi)部包含了非常多的軟硬件模塊,整個系統(tǒng)緊密高效的互相連接穩(wěn)定配合。從模...
摘要:云盒可以給智能設(shè)備提供穩(wěn)定的電源供應(yīng)網(wǎng)絡(luò)環(huán)境安全保障,是智能設(shè)備接入云服務(wù)的載體,具有低成本,高可靠,安全性高的特點(diǎn)。每個云盒都是管理智能終端的最小單元,多個云盒之間可以完美堆疊,可以靈活適應(yīng)各種復(fù)雜的機(jī)房環(huán)境以及各種規(guī)模的智能終端接入。 摘要: 移動測試的應(yīng)用架構(gòu) 作為一整個龐大的移動測試解決方案,MQC專有云系統(tǒng)內(nèi)部包含了非常多的軟硬件模塊,整個系統(tǒng)緊密高效的互相連接穩(wěn)定配合。從模...
摘要:近期,又迎來了一次重大升級,主要包括如下重點(diǎn)功能新增華南區(qū)域節(jié)點(diǎn)擴(kuò)展包,推出合規(guī)解決方案,新增中國內(nèi)地體驗版。后續(xù)將進(jìn)一步支持回源多區(qū)域部署等功能,助力政府金融企業(yè)快速安全的實現(xiàn)改造。Web系統(tǒng)承載著各企事業(yè)單位的門戶、注冊登錄、業(yè)務(wù)執(zhí)行等職責(zé),很容易遭受各種類型的惡意流量攻擊,影響應(yīng)用可用性、損害安全性或消耗過多的資源,UCloud Web應(yīng)用防火墻UWAF則可以有效保護(hù)用戶的 Web 應(yīng)...
摘要:于年成立移動邊緣計算規(guī)范工作組,正式宣布推動移動邊緣計算標(biāo)準(zhǔn)化工作。其基本思想是把云計算平臺從移動核心網(wǎng)絡(luò)內(nèi)部遷移到移動接入網(wǎng)邊緣,實現(xiàn)計算及存儲資源的彈性利用。 本文選自最近人民郵電出版社新書《從云端到邊緣:邊緣計算的產(chǎn)業(yè)鏈與行業(yè)應(yīng)用》第一章第二節(jié)5G時代的邊緣計算,作者吳冬升,5G產(chǎn)...
摘要:阿里云推出的邊緣節(jié)點(diǎn)服務(wù)這個云產(chǎn)品,就是針對前面提到的目標(biāo)場景,來應(yīng)對客戶自建邊緣設(shè)施遇到的痛點(diǎn)和挑戰(zhàn)的。針對賽事直播業(yè)務(wù)場景的優(yōu)化阿里云團(tuán)隊針對常規(guī)活動賽事電競直播這一業(yè)務(wù)場景,也做了很多技術(shù)優(yōu)化。 近日,英雄聯(lián)盟S8全球總決賽落下帷幕,中國戰(zhàn)隊IG零封FNC奪得冠軍。這場比賽引起了國內(nèi)網(wǎng)友的超高關(guān)注度,也給直播平臺帶來了不小的技術(shù)挑戰(zhàn)。虎牙直播平臺結(jié)合阿里云邊緣節(jié)點(diǎn)技術(shù)方案,保障了...
閱讀 831·2021-10-13 09:39
閱讀 3711·2021-10-12 10:12
閱讀 1761·2021-08-13 15:07
閱讀 1020·2019-08-29 15:31
閱讀 2896·2019-08-26 13:25
閱讀 1787·2019-08-23 18:38
閱讀 1891·2019-08-23 18:25
閱讀 1864·2019-08-23 17:20
