17370845950

安全脚本执行器需严格限制命令、权限与资源：仅允许白名单命令及校验参数，禁用路径遍历与shell元字符；以低权限用户运行，通过Setuid/Setgid降权；设置超时、进程组控制与输出截断；记录完整审计日志。

用 Go 写一个安全、可控的脚本执行器，核心不是“怎么运行命令”，而是“怎么限制命令、控制权限、防止越界”。直接调用 os/exec 执行用户输入的命令极其危险，必须做输入校验、路径约束、超时控制、用户隔离和资源限制。

只允许预设命令 + 参数白名单

不解析或拼接任意字符串，避免 shell 注入。定义合法命令集合，参数也限定范围：

• 用 map 或 switch 明确列出可执行命令，如 "ls", "cat", "date"
• 参数需校验：禁止 ..、/、通配符、重定向符号（>, |, ;）等
• 示例：允许 cat /var/log/app.log，但拒绝 cat /etc/shadow; rm -rf / 或 ls *.go

以低权限用户身份运行命令

Go 进程本身不要用 root 启动；执行命令时进一步降权：

• Linux 下可用 syscall.Setuid() / Setgid() 切换到专用受限用户（如 runner）
• 提前创建该用户，并限制其 home 目录、禁止登录、禁用 shell（/usr/sbin/nologin）
• 确保目标文件/目录对这个用户仅有最小读写权限（如日志只读，配置只读）

强制超时 + 资源限制

防卡死、防耗尽 CPU 或内存：

• 用 context.WithTimeout 包裹 exec.CommandContext
• Linux 下通过 syscall.SysProcAttr 设置 Setpgid: true，便于后续 kill 整个进程组
• 结合 cgroups（需 root 权限）或外部工具（如 timeout 命令）限制 CPU 时间与内存上限

输出截断 + 错误隔离

防止大输出撑爆内存或泄露敏感信息：

• 用 io.LimitReader 限制 stdout/stderr 总大小（如最多 1MB）
• 错误输出单独捕获，不混入正常结果；非零退出码应明确返回错误状态，而非静默忽略
• 日志记录命令、用户、开始/结束时间、退出码、截断提示（如 “output truncated at 1048576 bytes”）

基本上就这些——重点不在“让命令跑起来”，而在“让它跑得明白、跑得受控、跑得安心”。不复杂但容易忽略的是权限切换和参数白名单，这两步做扎实，90% 的风险就挡住了。