一般的に、任意のコードが 2 つの操作間で実行されると操作の組み合わせによって 機能しなくなるものすべてを、注意深くチェックしなければいけません。
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <sys/stat.h>
void failure(msg) {
fprintf(stderr, "%s\n", msg);
exit(1);
}
/*
* Given a "pattern" for a temporary filename
* (starting with the directory location and ending in XXXXXX),
* create the file and return it.
* This routines unlinks the file, so normally it won't appear in
* a directory listing.
* The pattern will be changed to show the final filename.
*/
FILE *create_tempfile(char *temp_filename_pattern)
{
int temp_fd;
mode_t old_mode;
FILE *temp_file;
old_mode = umask(077); /* Create file with restrictive permissions */
temp_fd = mkstemp(temp_filename_pattern);
(void) umask(old_mode);
if (temp_fd == -1) {
failure("Couldn't open temporary file");
}
if (!(temp_file = fdopen(temp_fd, "w+b"))) {
failure("Couldn't create temporary file's file descriptor");
}
if (unlink(temp_filename_pattern) == -1) {
failure("Couldn't unlink temporary file");
}
return temp_file;
}
/*
* Given a "tag" (a relative filename ending in XXXXXX),
* create a temporary file using the tag. The file will be created
* in the directory specified in the environment variables
* TMPDIR or TMP, if defined and we aren't setuid/setgid, otherwise
* it will be created in /tmp. Note that root (and su'd to root)
* _will_ use TMPDIR or TMP, if defined.
*
*/
FILE *smart_create_tempfile(char *tag)
{
char *tmpdir = NULL;
char *pattern;
FILE *result;
if ((getuid()==geteuid()) && (getgid()==getegid())) {
if (! ((tmpdir=getenv("TMPDIR")))) {
tmpdir=getenv("TMP");
}
}
if (!tmpdir) {tmpdir = "/tmp";}
pattern = malloc(strlen(tmpdir)+strlen(tag)+2);
if (!pattern) {
failure("Could not malloc tempfile pattern");
}
strcpy(pattern, tmpdir);
strcat(pattern, "/");
strcat(pattern, tag);
result = create_tempfile(pattern);
free(pattern);
return result;
}
main() {
int c;
FILE *demo_temp_file1;
FILE *demo_temp_file2;
char demo_temp_filename1[] = "/tmp/demoXXXXXX";
char demo_temp_filename2[] = "second-demoXXXXXX";
demo_temp_file1 = create_tempfile(demo_temp_filename1);
demo_temp_file2 = smart_create_tempfile(demo_temp_filename2);
fprintf(demo_temp_file2, "This is a test.\n");
printf("Printing temporary file contents:\n");
rewind(demo_temp_file2);
while ( (c=fgetc(demo_temp_file2)) != EOF) {
putchar(c);
}
putchar('\n');
printf("Exiting; you'll notice that there are no temporary files on exit.\n");
} |
char *filename;
int fd;
do {
filename = tempnam (NULL, "foo");
fd = open (filename, O_CREAT | O_EXCL | O_TRUNC | O_RDWR, 0600);
free (filename);
} while (fd == -1); |
echo "This is a test" > /tmp/test$$ # DON'T DO THIS. |
# Simple use of mktemp(1), where the script should quit
# if it can't get a safe temporary file:
TMPFILE=`mktemp /tmp/$0.XXXXXX` || exit 1
echo "program output" >> $TMPFILE
# Simple example, if you want to catch the error:
TMPFILE=`mktemp -q /tmp/$0.XXXXXX`
if [ $? -ne 0 ]; then
echo "$0: Can't create temp file, exiting..."
exit 1
fi |
環境変数の TMP や TMPDIR の値が確実に信頼できるところから得られ、コードが Unix ライクなシステム向けなら、それらの環境変数を尊重してもよいかもしれません。 そうすれば、ユーザはテンポラリファイルをホームディレクトリ下のサブディレクトリ のような共有していないディレクトリに移せます(そしてここで論じた問題を回避 できます)。 Bastille の最近のバージョンでは、ユーザ間で共有を減らすように、これらの変数を 設定できるようになっています。 残念ながら、ユーザは TMP や TMPDIR に共有ディレクトリ(たとえば /tmp)を設定 しているケースが多く、依然として安全が必要なプログラムでは、これらの環境変数 が設定してあっても、正しくテンポラリファイルを作成する必要があります。 GNOME の解決方法には長所が 1 つあります。少なくともあるシステムでは、 tempnam(3)は自動的に TMPDIR を利用しますが、mkstemp(3)で同様なことをするには、 さらにコードを書かなければならないからです。 テンポラリディレクトリ用にさらに環境変数(TEMP の ような)を作らないように してください。特にアプリケーション毎に別の環境変数名を作らないでください (たとえば、「MYAPP_TEMP」のように使わないこと)。 作成してしまうと、システム管理がとても複雑になってしまいます。特定のアプリ ケーション用に専用のテンポラリファイルを望んでいるユーザが、そのアプリケー ションを動かす時に環境変数を独自に設定できてしまいます。 もちろん、これらの環境変数が信頼できないソースで設定されてしまったなら、 これらを無視しなければいけません。Section 4.2.3 にある アドバイスに従うなら、どのみちそうなるでしょう。
これらのテクニックは、テンポラリディレクトリが NFS version 2 (NFSv2)でマウント した、リモートのディレクトリであるとうまく動きません。それは NFSv2 がきちんと O_EXCL をサポートしていないからです。 詳しいことは Section 6.10.2.1 を見てください。 NFS version 3 以降では O_EXCL をきちんとサポートしています。テンポラリ ディレクトリは、いつもローカルに作成するか、NFS を使ってマウントするなら、常に NFS version 3 以降を使うのが解りやすい解決策です。 NFS v2 で安全にテンポラリファイルを作成するには、link(2) と stat(2)を使用 しますが、面倒です。これについては、Section 6.10.2.1 に 詳しい情報があります。
それはさておき、FreeBSD が最近になって mk*temp()系でファイル名に pid を 付けないようにした点は、注目に値します。pid ではなく、base-62 でエンコード したランダムな値に完全に置き換えました。このことによって「デフォルト」の 6 文字分を使用したテンポラリファイルが大幅に増加しました。つまり、6 文字 を使った mktemp(3)でさえ、頻繁に使用しなければ、名前の推測に対してかなり (確率的にも) 安全になりました。 しかしここでも教えにならうなら、彼らが取り組んでいる問題を回避するでしょう。
テンポラリファイルについての情報の多くは、 Kris Kennaway 氏が 2000 年 12月15日に Bugtraq へテンポラリファイルについて投稿した記事 によっています。