Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub

Accettare Input Utente in Modo Sicuro: Tecniche Essenziali per il Comando Bash read

Impara ad accettare input utente in modo sicuro ed efficiente negli script Bash utilizzando il comando `read`. Questa guida copre tecniche essenziali per richiedere input, gestire le password in modo silenzioso con `-s`, impostare timeout con `-t` ed eseguire validazione e sanificazione di base dell'input per creare script interattivi più robusti e sicuri.

Accettare Input Utente in Modo Sicuro: Tecniche Essenziali per il Comando Bash read

Il comando Bash read sembra innocuo finché il valore raccolto non viene utilizzato in un percorso file, un argomento di comando o un prompt per password. La maggior parte dei problemi non deriva da read stesso. Deriva dal fidarsi del testo troppo presto, dal dimenticare che spazi e metacaratteri della shell sono input utente normali, o dal lasciare che uno script si blocchi per sempre perché nessuno ha risposto al prompt.

Un buon script Bash interattivo tratta l'input come testo non fidato. Chiede chiaramente, legge attentamente, valida prima di agire e mantiene i segreti fuori dai log. Sembra formale, ma la versione quotidiana è semplice: racchiudi le variabili tra virgolette, usa IFS= read -r per impostazione predefinita, controlla lo stato di ritorno e rifiuta i valori che non sai come gestire.

Inizia con l'impostazione predefinita più sicura

Per la maggior parte dei prompt a riga singola, questo è lo schema che uso:

printf 'Project name: '
IFS= read -r project_name

if [[ -z $project_name ]]; then
  printf 'Project name is required.\n' >&2
  exit 1
fi

Ci sono due dettagli da tenere a mente. IFS= impedisce a Bash di tagliare spazi bianchi iniziali e finali durante la lettura. -r dice a read di non trattare i backslash come caratteri di escape. Senza -r, qualcuno che inserisce C:\Users\me o una stringa contenente \n potrebbe non ricevere indietro il testo esatto che ha digitato.

Puoi anche usare -p per un prompt:

IFS= read -r -p 'Environment [dev/staging/prod]: ' env_name

Va bene per un terminale interattivo. Uso ancora printf quando voglio che il prompt e la lettura siano più facili da testare separatamente, o quando ho bisogno di abitudini di portabilità più rigorose per la formattazione dell'output.

Controlla se read ha effettivamente avuto successo

read restituisce uno stato. Usalo. Una lettura fallita può significare fine del file, timeout o terminale interrotto. Se la riga successiva del tuo script assume che la variabile sia significativa, potresti accidentalmente eseguire con un valore vecchio o una stringa vuota.

if ! IFS= read -r -p 'Deploy tag: ' tag; then
  printf 'No input received. Aborting.\n' >&2
  exit 1
fi

Questo è importante negli script che a volte vengono eseguiti da una persona e a volte in CI. In un lavoro non interattivo, read potrebbe raggiungere immediatamente EOF. Un errore chiaro è molto meglio di un comando di deploy eseguito con un tag vuoto.

Usa timeout per i prompt che non dovrebbero bloccare per sempre

Uno script di manutenzione che aspetta una conferma può silenziosamente bloccare un deployment o un cron job. read -t imposta un timeout in secondi:

if IFS= read -r -t 15 -p 'Restart service now? [y/N] ' answer; then
  case $answer in
    y|Y|yes|YES) systemctl restart myapp ;;
    *) printf 'Skipped restart.\n' ;;
  esac
else
  printf '\nNo answer after 15 seconds; skipped restart.\n' >&2
fi

Il supporto per il timeout è una funzionalità di Bash, non una funzionalità POSIX sh. Di solito va bene per un articolo su Bash, ma vale la pena ricordarlo se uno script potrebbe essere eseguito con /bin/sh su un'immagine di base piccola.

Nascondi le password, ma non fingere che siano protette per sempre

read -s impedisce che i caratteri digitati vengano visualizzati sul terminale:

IFS= read -r -s -p 'Password: ' password
printf '\n'
IFS= read -r -s -p 'Confirm password: ' confirm_password
printf '\n'

if [[ $password != "$confirm_password" ]]; then
  printf 'Passwords do not match.\n' >&2
  exit 1
fi

Questo protegge da sguardi indiscreti e dallo scorrimento all'indietro del terminale. Non trasforma Bash in un gestore di segreti sicuro. Il valore esiste ancora in una variabile della shell mentre lo script è in esecuzione. Non stamparlo con set -x abilitato, non passarlo attraverso righe di comando che appaiono negli elenchi dei processi e non scriverlo in file temporanei. Se il segreto è per un flusso di lavoro di produzione serio, preferisci un archivio di segreti, un file di token con permessi rigorosi o il prompt nativo della password dello strumento di destinazione.

Una regola pratica: disabilita xtrace intorno alla gestione dei segreti se lo script circostante usa la traccia.

set +x
IFS= read -r -s -p 'API token: ' api_token
printf '\n'
set -x

Ancora meglio, evita di riattivare xtrace finché il token non è più referenziato dai comandi.

Valida tramite whitelist, non tramite escaping speranzoso

La validazione dell'input dovrebbe corrispondere al lavoro. Un nome di branch, un nome utente, un numero di porta e una descrizione in formato libero sono diversi tipi di testo. Non sanificare tutto con una funzione vaga.

Per un ambiente di deploy semplice, consenti solo valori noti:

IFS= read -r -p 'Environment [dev/staging/prod]: ' env_name

case $env_name in
  dev|staging|prod) ;;
  *)
    printf 'Invalid environment: %s\n' "$env_name" >&2
    exit 1
    ;;
esac

Per una porta TCP, controlla sia la forma che l'intervallo:

IFS= read -r -p 'Port: ' port

if ! [[ $port =~ ^[0-9]+$ ]] || (( port < 1 || port > 65535 )); then
  printf 'Enter a port from 1 to 65535.\n' >&2
  exit 1
fi

Per un nome file locale, decidi cosa permetti effettivamente. Se il tuo script supporta solo un nome file semplice nella directory corrente, dillo e rifiuta le barre:

IFS= read -r -p 'Output filename: ' filename

if ! [[ $filename =~ ^[A-Za-z0-9._-]+$ ]]; then
  printf 'Use only letters, numbers, dot, underscore, and dash.\n' >&2
  exit 1
fi

printf 'Writing to %s\n' "$filename"

Evita lo schema di costruire una stringa di comando e poi eseguirla con eval. printf %q può visualizzare una rappresentazione con escape della shell, ma non è una licenza per assemblare comandi non fidati. Preferisci gli array in modo che la shell mantenga ogni argomento separato:

cmd=(tar -czf "$filename.tar.gz" "$filename")
"${cmd[@]}"

Leggi più valori solo quando la suddivisione è intenzionale

read first last suddivide su IFS. Se l'utente inserisce più parole di quante variabili ci siano, l'ultima variabile riceve il resto. Può essere utile per i nomi, ma può anche sorprenderti.

IFS= read -r -p 'First and last name: ' first_name last_name

Se l'input è Mary Jane Watson, first_name diventa Mary e last_name diventa Jane Watson. Se hai bisogno dell'intera riga, leggi in una variabile. Se hai bisogno di input strutturato, scegli un delimitatore e analizzalo deliberatamente.

Per valori separati da due punti:

IFS=: read -r host port <<<"$target"

Poi valida entrambi i campi. Non dare per scontato che il delimitatore sia apparso.

Gestisci i valori predefiniti senza nascondere gli errori

I valori predefiniti sono utili quando sono visibili:

IFS= read -r -p 'Log level [INFO]: ' log_level
log_level=${log_level:-INFO}

Per operazioni distruttive, evita valori predefiniti che fanno la cosa pericolosa. Un prompt come Delete data? [y/N] dovrebbe trattare Invio come no, non sì.

IFS= read -r -p 'Delete local cache? [y/N] ' answer
case $answer in
  y|Y|yes|YES) rm -rf -- "$cache_dir" ;;
  *) printf 'Cache left in place.\n' ;;
esac

Nota il -- prima del percorso. Impedisce che un nome file che inizia con - venga interpretato come un'opzione da rm.

Rendi i prompt funzionanti in pipeline e script

Se il tuo script legge dati dallo standard input, un prompt interattivo potrebbe accidentalmente consumare i dati inviati tramite pipe invece di leggere dal terminale. In tal caso, leggi i prompt da /dev/tty:

printf 'Continue? [y/N] ' > /dev/tty
IFS= read -r answer < /dev/tty

Questo schema è utile per strumenti come:

generate-list | ./review-and-delete.sh

Lo script può elaborare record inviati tramite pipe da stdin mentre chiede comunque all'operatore una conferma sul terminale di controllo.

Una piccola funzione di prompt riutilizzabile

Per script con diversi prompt, un piccolo helper mantiene il comportamento coerente:

prompt_required() {
  local label=$1 value

  while true; do
    IFS= read -r -p "$label: " value || return 1
    if [[ -n $value ]]; then
      printf '%s\n' "$value"
      return 0
    fi
    printf '%s is required.\n' "$label" >&2
  done
}

project_name=$(prompt_required 'Project name') || exit 1

La funzione stampa il valore accettato su stdout, in modo che i chiamanti possano catturarlo. Gli errori vanno su stderr. Questo la mantiene utilizzabile nella sostituzione dei comandi senza mescolare prompt e risultati.

La versione breve: read è abbastanza sicuro quando mantieni il testo come dati. Usa IFS= read -r, controlla i fallimenti, nascondi i segreti con aspettative realistiche, valida per l'esatta cosa che intendi fare e passa i valori come argomenti tra virgolette o elementi di array. La maggior parte dei bug Bash legati all'input scompare quando queste abitudini diventano automatiche.

Evita prompt sì/no che accettano troppo

Un prompt di conferma dovrebbe essere noioso e rigoroso. Non trattare qualsiasi risposta non vuota come approvazione. Ho visto script usare questo schema:

read -r -p 'Continue? ' answer
if [[ $answer ]]; then
  deploy_to_production
fi

Ciò significa che no, wait e what does this do? contano tutti come sì. Usa un'istruzione case e rendi il valore predefinito sicuro:

IFS= read -r -p 'Deploy to production? Type yes to continue: ' answer
case $answer in
  yes) deploy_to_production ;;
  *)
    printf 'Deployment cancelled.\n' >&2
    exit 1
    ;;
esac

Per operazioni particolarmente rischiose, richiedere il nome esatto della risorsa è meglio di un prompt sì/no:

printf 'Type %s to delete this namespace: ' "$namespace"
IFS= read -r confirmation

if [[ $confirmation != "$namespace" ]]; then
  printf 'Name did not match. Nothing deleted.\n' >&2
  exit 1
fi

Questo protegge da qualcuno che preme Invio attraverso un prompt che non ha letto.

Fai attenzione con le opzioni solo terminale

Alcune opzioni di read presuppongono un terminale. Input silenzioso, prompt e timeout sono progettati per uso interattivo. Se il tuo script potrebbe essere eseguito in CI, un entrypoint Docker o cron, controlla se stdin è un terminale:

if [[ -t 0 ]]; then
  IFS= read -r -p 'Release name: ' release_name
else
  release_name=${RELEASE_NAME:?RELEASE_NAME is required in non-interactive mode}
fi

Questo dà agli umani un prompt e all'automazione un contratto chiaro di variabili d'ambiente. Impedisce anche che un lavoro di build si blocchi finché la piattaforma non lo uccide.

Non usare read per formati strutturati quando esiste un parser

Va bene leggere un valore semplice da una persona. È meno bene analizzare JSON, YAML, CSV o sintassi della shell con un semplice ciclo read a meno che il formato non sia genuinamente semplice. Una virgola all'interno di un campo CSV o una virgoletta all'interno di JSON possono rompere rapidamente un'analisi scritta a mano.

Per JSON, usa jq. Per file .env, preferisci un formato deliberatamente piccolo e documentalo. Se leggi una configurazione basata su righe, preserva la riga e salta i commenti esplicitamente:

while IFS= read -r line; do
  [[ -z $line || $line == \#* ]] && continue
  printf 'config line: %s\n' "$line"
done < settings.conf

Quel ciclo non analizza magicamente ogni formato di configurazione. Legge solo le righe fedelmente, che è il punto di partenza giusto.

Una revisione del mondo reale prima di distribuire

Prima di considerare uno script o una configurazione di container completata, leggilo una volta come se fossi la prossima persona che dovrà eseguirne il debug alle 2 del mattino. Questo cambia ciò che noti. Un prompt che aveva senso mentre scrivevi lo script potrebbe essere ambiguo quando appare in un log CI. Un nome di servizio Docker che sembrava ovvio potrebbe non corrispondere al nome della variabile nell'applicazione. Un valore predefinito Bash potrebbe essere sicuro per lo sviluppo e pericoloso per la produzione.

Mi piace fare una breve esecuzione a secco con valori deliberatamente scomodi. Usa un percorso con spazi. Usa un valore opzionale vuoto. Prova un nome file che inizia con un trattino. Esegui lo script da una directory di lavoro diversa. Avvia il container senza una variabile d'ambiente prevista. Questi test non sono fantasiosi, ma catturano le supposizioni che di solito si rompono per prime.

Controlla anche il messaggio di errore. Se l'unico output è failed, il consiglio dell'articolo non è stato implementato. Un errore utile dice quale valore è stato usato, quale controllo è fallito e cosa l'operatore può cambiare. Ciò non significa scaricare ogni variabile d'ambiente o stampare segreti. Significa essere specifici dove la specificità aiuta: il percorso di configurazione, il nome del comando mancante, il nome della rete, il nome host del servizio o la porta a cui il processo ha tentato di associarsi.

L'abitudine finale è mantenere gli esempi vicini al modo in cui il sistema viene effettivamente eseguito. Se la produzione usa Compose, testa con Compose. Se uno script viene lanciato da systemd, testalo con systemd o con un ambiente altrettanto minimale. Se un comando dovrebbe essere sicuro per copia e incolla, includi le virgolette, i separatori -- e la validazione nell'esempio stesso. I lettori copiano schemi funzionanti più spesso di quanto copino avvertimenti.

Quella revisione non è burocrazia. È come la piccola automazione rimane noiosa. Noioso è ciò che vuoi dai prompt della shell, dai caricatori di configurazione, dall'espansione delle variabili, dalla diagnostica dei container e dal networking Docker. Meno sorprendente è il comportamento, più facile è per il prossimo operatore fidarsi.