执行shell命令须防注入:优先用subprocess.run(["cmd", arg], shell=false);若需shell=true,必须shlex.quote()包裹变量;读写文件前校验路径与权限;调用第三方库需关闭危险默认;日志需字段级脱敏。

执行 shell 命令时别直接拼接用户输入
用 subprocess.run() 或 os.system() 调外部命令,只要参数里混了未经处理的用户输入(比如从 API、文件、日志里读的字符串),就等于给攻击者开了个 shell 注入后门。
常见错误现象:subprocess.run("ls " + user_path, shell=True) —— 用户传 "/tmp; rm -rf /" 就真删了。
- 永远优先用
shell=False(默认值),把命令和参数拆成列表:subprocess.run(["ls", user_path]) - 如果非得用
shell=True(比如要管道、通配符),必须先用shlex.quote()包裹每个变量:subprocess.run(f"ls {shlex.quote(user_path)}", shell=True) - 注意:
shlex.quote()只防注入,不解决路径越界问题;后续还得校验user_path是否在允许目录内
读写敏感文件前先做权限与路径双重校验
自动化脚本常要读 /etc/passwd、写 /var/log/myapp/,但 Python 的 open() 不管你有没有权限,也不拦着你写到 /root/.ssh/authorized_keys。
使用场景:批量修改配置、轮转日志、同步密钥文件。
立即学习“Python免费学习笔记(深入)”;
- 用
os.path.realpath()解析绝对路径,再检查是否落在白名单根目录下:if not real_path.startswith("/etc/"):→ 拒绝 - 用
os.stat()查目标文件权限位,确认不是 world-writable(stat.S_IWOTH)或属主不是 root 但你要改它 - 写文件时优先用
tempfile.NamedTemporaryFile(delete=False)写临时文件,再os.replace()原子替换,避免写一半崩溃留下脏数据
调用第三方库前看清它默认开没开危险开关
很多运维常用库(比如 paramiko、ansible-core、requests)为方便,默认行为其实有安全妥协。
典型例子:paramiko.SSHClient() 默认跳过主机密钥验证,requests.get(url, verify=False) 关闭 TLS 证书校验。
-
paramiko必须显式调用load_system_host_keys()或set_missing_host_key_policy(),别留空 -
requests禁用verify=False,生产环境用verify="/path/to/ca-bundle.crt" -
ansibleplaybook 中避免裸写become: yes,要配合become_user和become_method明确限定提权范围
日志和异常信息别把凭证/路径/命令原样打出来
调试时习惯性 logger.error(f"Failed to run {cmd} with {env}") ,结果日志里全是数据库密码、API token、完整命令行——这些全进了 ELK 或 Sentry。
性能影响不大,但一旦日志被误导出或权限配置松动,就是泄露源头。
- 对日志内容做字段级脱敏:匹配
r"(password|token|key|secret)[^=]*=[^&\s]+"并替换成"***" - 异常堆栈里可能带敏感路径,用
traceback.format_exc()后手动过滤再记录 - 开发期可用
logging.basicConfig(level=logging.DEBUG),上线前务必关掉DEBUG,至少设为WARNING
真正难的不是加几行校验,而是每次 touch 到系统边界(exec、open、net、log)时,都得下意识问一句:这个变量谁给的?它能被谁控制?我有没有假设它“可信”?










