UNIX环境编程学习笔记（22）——进程管理之system 函数执行命令行字符串

lienhua34
2014-10-15

ISO C 定义了 system 函数,用于在程序中执行一个命令字符串。其声明如下,

#include <stdlib.h>

int system(const char *cmdstring);

system 函数在其实现中调用了 fork、exec 和 waitpid 函数。system 函数调用 fork 函数创建子进程,然后由子进程调用’/bin/sh -c cmdstring’ 来执行命令行参数 cmdstring,此命令执行完后便返回调用的进程。在调用system 函数期间 SIGCHLD 信号会被暂时搁置,SIGINT 和 SIGQUIT 信号则会被忽略。

system 函数的返回值有点复杂,有下面几种情况,

1. 如果 cmdstring 是空指针,则仅当命令处理程序处理程序可用时,返回非 0 值。这一特征可用于确定一个操作系统是否支持 system 函数。UNIX 系统总是支持 system 函数的。

2. 如果 fork 失败或者 waitpid 返回除 EINTR 之外的出错,则 system返回 -1,而且 errno 中设置错误类型值。

3. 如果 exec 失败(表示不能执行 shell),则其返回值相当于 shell 执行了 exit(127) 后的终止状态。

4. 如果所有三个函数(fork、exec 和 waitpid)都执行成功,则 system的返回值是 shell 执行命令参数 cmdstring 后的终止状态。

通过上面对返回值的说明,我们发现当命令行参数 cmdstring 不为空指针时,我们可以通过判断返回值是否为 -1 来判定 system 函数是否成功。而其他情况,我们则可以像文档“获取进程终止状态的 wait 和 waitpid 函数”中说明的处理终止状态一样来处理 system 函数的返回值。下面我们看一下例子,

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
#include <sys/wait.h>

extern void print_exit(int status);

int
main(void)
{
  int status;

  if ((status = system("date")) < 0) {
    printf("system() error: %s\n", strerror(errno));
    exit(-1);
  }
  print_exit(status);

  if ((status = system("nosuchcommand")) < 0) {
    printf("system() error: %s\n", strerror(errno));
    exit(-1);
  }
  print_exit(status);

  if ((status = system("who; exit 44")) < 0) {
    printf("system() error: %s\n", strerror(errno));
    exit(-1);
  }
  print_exit(status);

  exit(0);
}

void print_exit(int status)
{
  if (WIFEXITED(status)) {
    printf("normal termination, exit status = %d\n",
           WEXITSTATUS(status));
  } else if (WIFSIGNALED(status)) {
    printf("abnormal termination, signal number =%d\n",
           WTERMSIG(status));
  }
}

如上面程序所述,我们可以像处理进程终止状态一样来处理 system 函数的返回值。编译该程序,生成并执行文件 systemdemo,

lienhua34:demo$ gcc -o systemdemo systemdemo.c
lienhua34:demo$ ./systemdemo
2014年 10月 15日 星期三 23:15:28 CST
normal termination, exit status = 0
sh: 1: nosuchcommand: not found
normal termination, exit status = 127
lienhua34 tty7 2014-10-15 22:28
lienhua34 pts/0 2014-10-15 22:37 (:0.0)
lienhua34 pts/3 2014-10-15 23:10 (:0.0)
normal termination, exit status = 44
lienhua34:demo$

system 函数创建进程相对于 fork 与 exec 函数组合的优点是:system函数进行了所需的各种出错处理,以及各种信号处理。但是,system 函数也有其致命弱点:在设置用户 ID 程序中使用 system 函数会存在安全性漏洞。下面,我们来看个例子。

下面程序使用 system 函数执行第一个命令行参数。将该程序编译为可执行文件 tsys。

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <errno.h>

int
main(int argc, char *argv[])
{
  int status;
  if (argc < 2) {
    printf("command-line argument required.\n");
    exit(-1);
  }
  if ((status = system(argv[1])) < 0) {
    printf("system error: %s\n", strerror(errno));
    exit(-1);
  }
  exit(0);
}

下面提供一个打印进程实际用户 ID 和有效用户 ID 的程序,将该程序编译为可执行文件 printuids。

#include <stdlib.h>
#include <stdio.h>
#include <unistd.h>
int
main(void)
{
    printf("real uid=%d, effective uid=%d\n", getuid(), geteuid());
    exit(0);
}

运用这两个可执行文件,我们执行下面的操作,

lienhua34:demo$ ./tsys ./printuids
real uid=1000, effective uid=1000
lienhua34:demo$ su
# chown root tsys
# chmod u+s tsys
# ls -l tsys
-rwsrwxr-x 1 root lienhua34 7358 10月 15 23:37 tsys
# exit
exit
lienhua34:demo$ ./tsys ./printuids
real uid=1000, effective uid=0

在上面的执行过程中,我们将 tsys 文件的所有者设置为超级用户 root,并且设置了设置用户 ID 位。于是,执行 tsys 文件时,进程的有效用户 ID为 0(即 root)。而调用 system 函数执行 printuids 文件的子进程继承了这个有效用户 ID,于是子进程就拥有了很大的权限,可以执行任何可能会造成致命伤害的程序命令。这就是 system 函数存在的安全性漏洞。

如果一个进程以特殊权限(设置用户 ID 或设置组 ID)运行,它又想生成另一个进程执行另一个程序,则应当直接使用 fork 和 exec,而且在fork 之后、exec 之前要改回到普通权限。设置用户 ID 或设置组 ID 程序决不应调用 system 函数。

(done)