DevOps-Tools & Best Practices meistern - DevOps Knowledge Hub DevOps-Tools & Best Practices meistern - DevOps Knowledge Hub

Sicherer Empfang von Benutzereingaben: Wesentliche Techniken für den Bash-read-Befehl

Lernen Sie, wie Sie mit dem `read`-Befehl in Bash-Skripten sicher und effizient Benutzereingaben empfangen. Dieser Leitfaden behandelt wesentliche Techniken wie Aufforderungen, die stille Verarbeitung von Passwörtern mit `-s`, das Setzen von Timeouts mit `-t` sowie grundlegende Eingabevalidierung und -bereinigung, um robustere und sicherere interaktive Skripte zu erstellen.

Sicherer Empfang von Benutzereingaben: Wesentliche Techniken für den Bash-read-Befehl

Der Bash-read-Befehl wirkt harmlos, bis der gesammelte Wert in einem Dateipfad, einem Befehlsargument oder einer Passwortabfrage verwendet wird. Die meisten Probleme entstehen nicht durch read selbst. Sie entstehen dadurch, dass man dem Text zu früh vertraut, vergisst, dass Leerzeichen und Shell-Metazeichen normale Benutzereingaben sind, oder das Skript ewig hängen lässt, weil niemand auf die Eingabeaufforderung geantwortet hat.

Ein gutes interaktives Bash-Skript behandelt Eingaben als nicht vertrauenswürdigen Text. Es fragt klar, liest sorgfältig, validiert vor dem Handeln und hält Geheimnisse aus den Logs fern. Das klingt formell, aber die alltägliche Version ist einfach: Variablen in Anführungszeichen setzen, standardmäßig IFS= read -r verwenden, den Rückgabestatus überprüfen und Werte ablehnen, von denen man nicht weiß, wie man sie handhaben soll.

Beginnen Sie mit der sichersten Standardeinstellung

Für die meisten einzeiligen Eingabeaufforderungen ist dies das Muster, das ich verwende:

printf 'Projektname: '
IFS= read -r project_name

if [[ -z $project_name ]]; then
  printf 'Projektname ist erforderlich.\n' >&2
  exit 1
fi

Es gibt zwei Details, die es zu beachten gilt. IFS= verhindert, dass Bash führende und nachfolgende Leerzeichen beim Lesen entfernt. -r teilt read mit, Backslashes nicht als Escape-Zeichen zu behandeln. Ohne -r könnte jemand, der C:\Users\me oder eine Zeichenfolge mit \n eingibt, nicht den genauen eingegebenen Text zurückbekommen.

Sie können auch -p für eine Eingabeaufforderung verwenden:

IFS= read -r -p 'Umgebung [dev/staging/prod]: ' env_name

Das ist für ein interaktives Terminal in Ordnung. Ich verwende printf immer noch, wenn ich möchte, dass die Eingabeaufforderung und das Lesen getrennt einfacher zu testen sind oder wenn ich strengere portierbare Gewohnheiten in Bezug auf die Ausgabeformatierung benötige.

Überprüfen Sie, ob read tatsächlich erfolgreich war

read gibt einen Status zurück. Nutzen Sie ihn. Ein fehlgeschlagenes Lesen kann Dateiende, ein Timeout oder ein unterbrochenes Terminal bedeuten. Wenn die nächste Zeile Ihres Skripts davon ausgeht, dass die Variable sinnvoll ist, können Sie versehentlich mit einem alten Wert oder einer leeren Zeichenfolge arbeiten.

if ! IFS= read -r -p 'Deploy-Tag: ' tag; then
  printf 'Keine Eingabe erhalten. Abbruch.\n' >&2
  exit 1
fi

Dies ist wichtig in Skripten, die manchmal von einer Person und manchmal in CI ausgeführt werden. In einem nicht-interaktiven Job kann read sofort auf EOF stoßen. Ein klarer Fehler ist viel besser als ein Deployment-Befehl, der mit einem leeren Tag ausgeführt wird.

Verwenden Sie Timeouts für Eingabeaufforderungen, die nicht ewig blockieren sollen

Ein Wartungsskript, das auf eine Bestätigung wartet, kann leise ein Deployment oder einen Cron-Job aufhalten. read -t setzt ein Timeout in Sekunden:

if IFS= read -r -t 15 -p 'Dienst jetzt neu starten? [j/N] ' antwort; then
  case $antwort in
    j|J|ja|JA) systemctl restart myapp ;;
    *) printf 'Neustart übersprungen.\n' ;;
  esac
else
  printf '\nKeine Antwort nach 15 Sekunden; Neustart übersprungen.\n' >&2
fi

Die Timeout-Unterstützung ist eine Bash-Funktion, keine POSIX-sh-Funktion. Das ist für einen Bash-Artikel normalerweise in Ordnung, aber es ist wichtig, wenn ein Skript möglicherweise mit /bin/sh auf einem kleinen Basis-Image ausgeführt wird.

Verstecken Sie Passwörter, aber tun Sie nicht so, als wären sie für immer geschützt

read -s verhindert, dass eingegebene Zeichen auf dem Terminal angezeigt werden:

IFS= read -r -s -p 'Passwort: ' passwort
printf '\n'
IFS= read -r -s -p 'Passwort bestätigen: ' passwort_bestaetigung
printf '\n'

if [[ $passwort != "$passwort_bestaetigung" ]]; then
  printf 'Passwörter stimmen nicht überein.\n' >&2
  exit 1
fi

Das schützt vor Schulter-Surfing und Terminal-Scrollback. Es macht Bash nicht zu einem sicheren Geheimnisverwalter. Der Wert existiert weiterhin in einer Shell-Variable, während das Skript läuft. Geben Sie es nicht mit aktiviertem set -x aus, übergeben Sie es nicht über Befehlszeilen, die in Prozesslisten auftauchen, und schreiben Sie es nicht in temporäre Dateien. Wenn das Geheimnis für einen ernsthaften Produktionsworkflow bestimmt ist, bevorzugen Sie einen Secret Store, eine Token-Datei mit strengen Berechtigungen oder die native Passwortabfrage des Zieltools.

Eine praktische Regel: Deaktivieren Sie xtrace rund um die Geheimnisverarbeitung, wenn das umgebende Skript Tracing verwendet.

set +x
IFS= read -r -s -p 'API-Token: ' api_token
printf '\n'
set -x

Noch besser: Vermeiden Sie es, xtrace wieder einzuschalten, bis das Token nicht mehr von Befehlen referenziert wird.

Validieren Sie durch Positivliste, nicht durch wunschdenkerisches Escaping

Die Eingabevalidierung sollte zur Aufgabe passen. Ein Branchname, ein Benutzername, eine Portnummer und eine Freitextbeschreibung sind unterschiedliche Textarten. Bereinigen Sie nicht alles mit einer vagen Funktion.

Für eine einfache Deployment-Umgebung erlauben Sie nur bekannte Werte:

IFS= read -r -p 'Umgebung [dev/staging/prod]: ' env_name

case $env_name in
  dev|staging|prod) ;;
  *)
    printf 'Ungültige Umgebung: %s\n' "$env_name" >&2
    exit 1
    ;;
esac

Für einen TCP-Port überprüfen Sie sowohl Form als auch Bereich:

IFS= read -r -p 'Port: ' port

if ! [[ $port =~ ^[0-9]+$ ]] || (( port < 1 || port > 65535 )); then
  printf 'Geben Sie einen Port von 1 bis 65535 ein.\n' >&2
  exit 1
fi

Für einen lokalen Dateinamen entscheiden Sie, was Sie tatsächlich erlauben. Wenn Ihr Skript nur einen einfachen Dateinamen im aktuellen Verzeichnis unterstützt, sagen Sie das und lehnen Sie Schrägstriche ab:

IFS= read -r -p 'Ausgabedateiname: ' dateiname

if ! [[ $dateiname =~ ^[A-Za-z0-9._-]+$ ]]; then
  printf 'Verwenden Sie nur Buchstaben, Zahlen, Punkt, Unterstrich und Bindestrich.\n' >&2
  exit 1
fi

printf 'Schreibe nach %s\n' "$dateiname"

Vermeiden Sie das Muster, eine Befehlszeichenfolge zu erstellen und sie dann mit eval auszuführen. printf %q kann eine Shell-escaped Darstellung anzeigen, aber es ist keine Lizenz, um nicht vertrauenswürdige Befehle zusammenzustellen. Bevorzugen Sie Arrays, damit die Shell jedes Argument getrennt hält:

cmd=(tar -czf "$dateiname.tar.gz" "$dateiname")
"${cmd[@]}"

Lesen Sie mehrere Werte nur, wenn die Aufteilung beabsichtigt ist

read erster zweiter teilt bei IFS auf. Wenn der Benutzer mehr Wörter als Variablen eingibt, erhält die letzte Variable den Rest. Das kann für Namen nützlich sein, aber es kann Sie auch überraschen.

IFS= read -r -p 'Vor- und Nachname: ' vorname nachname

Wenn die Eingabe Mary Jane Watson ist, wird vorname zu Mary und nachname zu Jane Watson. Wenn Sie die gesamte Zeile benötigen, lesen Sie in eine Variable. Wenn Sie strukturierte Eingaben benötigen, wählen Sie ein Trennzeichen und parsen Sie es bewusst.

Für durch Doppelpunkte getrennte Werte:

IFS=: read -r host port <<<"$target"

Dann validieren Sie beide Felder. Gehen Sie nicht davon aus, dass das Trennzeichen erschienen ist.

Behandeln Sie Standardwerte, ohne Fehler zu verstecken

Standardwerte sind hilfreich, wenn sie sichtbar sind:

IFS= read -r -p 'Log-Level [INFO]: ' log_level
log_level=${log_level:-INFO}

Vermeiden Sie bei destruktiven Operationen Standardwerte, die das Gefährliche tun. Eine Eingabeaufforderung wie Daten löschen? [j/N] sollte die Eingabetaste als Nein behandeln, nicht als Ja.

IFS= read -r -p 'Lokalen Cache löschen? [j/N] ' antwort
case $antwort in
  j|J|ja|JA) rm -rf -- "$cache_dir" ;;
  *) printf 'Cache belassen.\n' ;;
esac

Beachten Sie das -- vor dem Pfad. Das verhindert, dass ein Dateiname, der mit - beginnt, von rm als Option interpretiert wird.

Machen Sie Eingabeaufforderungen in Pipelines und Skripten nutzbar

Wenn Ihr Skript Daten von der Standardeingabe liest, kann eine interaktive Eingabeaufforderung versehentlich die gepipten Daten verbrauchen, anstatt vom Terminal zu lesen. Lesen Sie in diesem Fall Eingabeaufforderungen von /dev/tty:

printf 'Fortfahren? [j/N] ' > /dev/tty
IFS= read -r antwort < /dev/tty

Dieses Muster ist nützlich für Tools wie:

generate-list | ./review-and-delete.sh

Das Skript kann gepipte Datensätze von stdin verarbeiten, während es dennoch den Bediener auf dem steuernden Terminal um Bestätigung bittet.

Eine kleine wiederverwendbare Eingabefunktion

Für Skripte mit mehreren Eingabeaufforderungen hält ein kleiner Helfer das Verhalten konsistent:

prompt_required() {
  local label=$1 value

  while true; do
    IFS= read -r -p "$label: " value || return 1
    if [[ -n $value ]]; then
      printf '%s\n' "$value"
      return 0
    fi
    printf '%s ist erforderlich.\n' "$label" >&2
  done
}

project_name=$(prompt_required 'Projektname') || exit 1

Die Funktion gibt den akzeptierten Wert an stdout aus, sodass Aufrufer ihn erfassen können. Fehler gehen an stderr. Das hält sie in der Befehlsersetzung nutzbar, ohne Eingabeaufforderungen und Ergebnisse zu vermischen.

Die Kurzversion: read ist sicher genug, wenn Sie den Text als Daten behandeln. Verwenden Sie IFS= read -r, überprüfen Sie Fehler, verstecken Sie Geheimnisse mit realistischen Erwartungen, validieren Sie genau das, was Sie tun möchten, und übergeben Sie Werte als in Anführungszeichen gesetzte Argumente oder Array-Elemente. Die meisten eingabebezogenen Bash-Fehler verschwinden, wenn diese Gewohnheiten automatisch werden.

Vermeiden Sie Ja/Nein-Eingabeaufforderungen, die zu viel akzeptieren

Eine Bestätigungsaufforderung sollte langweilig und streng sein. Behandeln Sie keine nicht-leere Antwort als Zustimmung. Ich habe Skripte gesehen, die dieses Muster verwenden:

read -r -p 'Fortfahren? ' antwort
if [[ $antwort ]]; then
  deploy_to_production
fi

Das bedeutet, dass nein, warte und was macht das? alle als Ja zählen. Verwenden Sie eine case-Anweisung und machen Sie den Standard sicher:

IFS= read -r -p 'In Produktion deployen? Geben Sie yes ein, um fortzufahren: ' antwort
case $antwort in
  yes) deploy_to_production ;;
  *)
    printf 'Deployment abgebrochen.\n' >&2
    exit 1
    ;;
esac

Für besonders riskante Operationen ist es besser, den genauen Ressourcennamen zu verlangen als eine Ja/Nein-Eingabeaufforderung:

printf 'Geben Sie %s ein, um diesen Namespace zu löschen: ' "$namespace"
IFS= read -r bestaetigung

if [[ $bestaetigung != "$namespace" ]]; then
  printf 'Name stimmte nicht überein. Nichts gelöscht.\n' >&2
  exit 1
fi

Dies schützt davor, dass jemand die Eingabetaste bei einer Eingabeaufforderung drückt, die er nicht gelesen hat.

Seien Sie vorsichtig mit terminal-spezifischen Optionen

Einige read-Optionen setzen ein Terminal voraus. Stille Eingabe, Eingabeaufforderungen und Timeouts sind für die interaktive Nutzung konzipiert. Wenn Ihr Skript möglicherweise in CI, einem Docker-Entrypoint oder Cron läuft, überprüfen Sie, ob stdin ein Terminal ist:

if [[ -t 0 ]]; then
  IFS= read -r -p 'Release-Name: ' release_name
else
  release_name=${RELEASE_NAME:?RELEASE_NAME ist im nicht-interaktiven Modus erforderlich}
fi

Dies gibt Menschen eine Eingabeaufforderung und der Automatisierung einen klaren Umgebungsvariablenvertrag. Es verhindert auch, dass ein Build-Job hängt, bis die Plattform ihn beendet.

Verwenden Sie read nicht für strukturierte Formate, wenn ein Parser existiert

Es ist in Ordnung, einen einfachen Wert von einer Person zu lesen. Es ist weniger in Ordnung, JSON, YAML, CSV oder Shell-Syntax mit einer lockeren read-Schleife zu parsen, es sei denn, das Format ist wirklich einfach. Ein Komma in einem CSV-Feld oder ein Anführungszeichen in JSON kann handgeschriebenes Parsing schnell brechen.

Für JSON verwenden Sie jq. Für .env-Dateien bevorzugen Sie ein bewusst kleines Format und dokumentieren Sie es. Wenn Sie zeilenbasierte Konfiguration lesen, bewahren Sie die Zeile und überspringen Sie Kommentare explizit:

while IFS= read -r line; do
  [[ -z $line || $line == \#* ]] && continue
  printf 'Konfigurationszeile: %s\n' "$line"
done < settings.conf

Diese Schleife parst nicht magisch jedes Konfigurationsformat. Sie liest nur Zeilen getreu, was der richtige Ausgangspunkt ist.

Ein praxisnaher Review-Durchlauf vor dem Ausliefern

Bevor Sie ein Skript oder Container-Setup als abgeschlossen bezeichnen, lesen Sie es einmal so, als wären Sie die nächste Person, die es um 2 Uhr morgens debuggen muss. Das ändert, was Ihnen auffällt. Eine Eingabeaufforderung, die beim Schreiben des Skripts sinnvoll war, kann in einem CI-Protokoll mehrdeutig sein. Ein Docker-Dienstname, der offensichtlich schien, passt möglicherweise nicht zum Variablennamen in der Anwendung. Ein Bash-Standardwert kann für die Entwicklung sicher und für die Produktion gefährlich sein.

Ich mache gerne einen kurzen Trockentest mit bewusst ungünstigen Werten. Verwenden Sie einen Pfad mit Leerzeichen. Verwenden Sie einen leeren optionalen Wert. Versuchen Sie einen Dateinamen, der mit einem Bindestrich beginnt. Führen Sie das Skript aus einem anderen Arbeitsverzeichnis aus. Starten Sie den Container ohne eine erwartete Umgebungsvariable. Diese Tests sind nicht ausgefallen, aber sie fangen die Annahmen, die normalerweise zuerst brechen.

Überprüfen Sie auch die Fehlermeldung. Wenn die einzige Ausgabe fehlgeschlagen ist, ist der Rat des Artikels nicht in die Implementierung eingeflossen. Ein nützlicher Fehler sagt, welcher Wert verwendet wurde, welche Prüfung fehlgeschlagen ist und was der Bediener ändern kann. Das bedeutet nicht, jede Umgebungsvariable auszugeben oder Geheimnisse zu drucken. Es bedeutet, dort spezifisch zu sein, wo Spezifität hilft: der Konfigurationspfad, der fehlende Befehlsname, der Netzwerkname, der Service-Hostname oder der Port, den der Prozess zu binden versuchte.

Die letzte Gewohnheit ist, Beispiele nahe an der Art und Weise zu halten, wie das System tatsächlich ausgeführt wird. Wenn die Produktion Compose verwendet, testen Sie mit Compose. Wenn ein Skript von systemd gestartet wird, testen Sie es mit systemd oder einer ähnlich minimalen Umgebung. Wenn ein Befehl sicher zum Kopieren und Einfügen sein soll, fügen Sie die Anführungszeichen, ---Trennzeichen und Validierung im Beispiel selbst ein. Leser kopieren funktionierende Muster häufiger als sie Warnungen kopieren.

Dieser Review-Durchlauf ist keine Bürokratie. Es ist, wie kleine Automatisierung langweilig bleibt. Langweilig ist, was Sie von Shell-Eingabeaufforderungen, Konfigurationsladern, Variablenexpansion, Container-Diagnose und Docker-Netzwerken wollen. Je weniger überraschend das Verhalten ist, desto einfacher ist es für den nächsten Bediener, ihm zu vertrauen.