Como posso proteger os scripts do bash para causar danos quando alterados no futuro?

Portanto, excluí minha pasta pessoal (ou, mais precisamente, todos os arquivos aos quais tive acesso de gravação). O que aconteceu é que eu tinha

build="build"
...
rm -rf "${build}/"*
...
<do other things with $build>

em um script bash e, depois de não precisar mais $build, remover a declaração e todos os seus usos - mas o rm. Bash se expande alegremente para rm -rf /*. Sim.

Eu me senti idiota, instalei o backup, refiz o trabalho que perdi. Tentando superar a vergonha.

Agora, eu me pergunto: quais são as técnicas para escrever scripts bash para que tais erros não ocorram ou sejam pelo menos menos prováveis? Por exemplo, se eu tivesse escrito

FileUtils.rm_rf("#{build}/*")

em um script Ruby, o intérprete teria reclamado por buildnão ter sido declarado, então a linguagem me protege.

O que eu considerei no bash, além de encurralar rm(que, como muitas respostas em perguntas relacionadas mencionam, não é problemático):

1. rm -rf "./${build}/"*
   Isso teria matado meu trabalho atual (um repositório Git), mas nada mais.
2. Uma variante / parametrização rmque requer interação ao atuar fora do diretório atual. (Não foi possível encontrar nenhum.) Efeito semelhante.

É isso ou existem outras maneiras de escrever scripts bash que são "robustos" nesse sentido?

set -u

ou

set -o nounset

Isso faria o shell atual tratar expansões de variáveis ​​não definidas como um erro:

$ unset build
$ set -u
$ rm -rf "$build"/*
bash: build: unbound variable

set -ue set -o nounsetsão opções de shell POSIX .

Um valor vazio não acionaria um erro.

Para isso, use

$ rm -rf "${build:?Error, variable is empty or unset}"/*
bash: build: Error, variable is empty or unset

A expansão de ${variable:?word}seria expandida para o valor de, a variablemenos que esteja vazio ou não esteja definido . Se estiver vazio ou não definido, o worderro será exibido no erro padrão e o shell tratará a expansão como um erro (o comando não será executado e, se estiver executando em um shell não interativo, isso será encerrado). Deixar de :fora acionaria o erro apenas para um valor não definido, assim como abaixo set -u.

${variable:?word}é uma expansão de parâmetro POSIX .

Nenhum deles causaria o término de um shell interativo, a menos que set -e(ou set -o errexit) também estivesse em vigor. ${variable:?word}faz com que os scripts saiam se a variável estiver vazia ou não definida. set -ucausaria a saída de um script se usado junto com set -e.

Quanto à sua segunda pergunta. Não há como limitar rma não trabalhar fora do diretório atual.

A implementação do GNU rmtem uma --one-file-systemopção que impede a exclusão recursiva de sistemas de arquivos montados, mas é o mais próximo que acredito que podemos chegar sem envolver a rmchamada em uma função que realmente verifica os argumentos.

Como uma nota lateral: ${build}é exatamente equivalente a $buildmenos que a expansão ocorre como parte de uma cadeia onde o caractere imediatamente seguinte é um caractere válido em um nome de variável, como em "${build}x".

Vou sugerir verificações normais de validação usando test/[ ]

Você estaria seguro se tivesse escrito seu script como tal:

build="build"
...
[ -n "${build}" ] || exit 1
rm -rf "${build}/"*
...

As [ -n "${build}" ]verificações que "${build}"são uma sequência de comprimento diferente de zero .

O ||é o operador OR lógico no bash. Isso faz com que outro comando seja executado se o primeiro falhar.

Desta forma, ${build}estava vazio / indefinido / etc. o script teria saído (com um código de retorno 1, que é um erro genérico).

Isso também o protegeria caso você removesse todos os usos, ${build}porque [ -n "" ]sempre será falso.

A vantagem de usar test/ [ ]é que existem muitas outras verificações mais significativas que também podem ser usadas.

Por exemplo:

[ -f FILE ] True if FILE exists and is a regular file.
[ -d FILE ] True if FILE exists and is a directory.
[ -O FILE ] True if FILE exists and is owned by the effective user ID.

No seu caso específico, reformulei a 'exclusão' no passado para mover arquivos / diretórios (supondo que / tmp esteja na mesma partição que o seu diretório):

# mktemp -d is also a good, reliable choice
trashdir=/tmp/.trash-$USER/trash-`date`
mkdir -p "$trashdir"
...
mv "${build}"/* "$trashdir"
...

Nos bastidores, isso move as referências de arquivo / diretório de nível superior da origem para as $trashdirestruturas de diretório de destino na mesma partição e não gasta tempo percorrendo a estrutura de diretórios e liberando os blocos de disco por arquivo naquele momento. Isso produz uma limpeza muito mais rápida enquanto o sistema está em uso ativo, em troca de uma reinicialização um pouco mais lenta (/ tmp é limpo nas reinicializações).

Como alternativa, uma entrada cron para limpar periodicamente /tmp/.trash-$USER manterá / tmp preenchido, para processos (por exemplo, compilações) que consomem muito espaço em disco. Se seu diretório estiver em uma partição diferente como / tmp, você poderá criar um diretório semelhante a / tmp na partição e fazer com que o cron limpe isso.

Mais importante, porém, se você estragar as variáveis ​​de alguma forma, poderá recuperar o conteúdo antes que a limpeza ocorra.

Use a substituição do bash paramater para atribuir padrões quando as variáveis ​​não forem inicializadas, por exemplo:

rm -rf $ {variable: - "/ inexistente"}

Eu sempre tento iniciar meus scripts Bash com uma linha #!/bin/bash -ue.

-esignifica "falhar em primeiro uncathed e rror";

-usignifica "falhar em primeiro uso de u ndeclared variável".

Encontre mais detalhes no excelente artigo Use o modo restrito não oficial do Bash (a menos que você perca a depuração) . O autor também recomenda o uso, set -o pipefail; IFS=$'\n\t'mas para meus propósitos isso é um exagero.

O conselho geral para verificar se sua variável está definida é uma ferramenta útil para evitar esse tipo de problema. Mas, neste caso, havia uma solução mais simples.

Provavelmente, não há necessidade de exibir o conteúdo do $builddiretório para excluí-lo, mas não o próprio $builddiretório. Portanto, se você pular o estranho *, um valor não definido se tornará o rm -rf /que, por padrão, a maioria das implementações rm na última década se recusará a executar (a menos que você desative essa proteção com a --no-preserve-rootopção do GNU rm ).

Ignorar a trilha /também resultaria na rm ''mensagem de erro:

rm: can't remove '': No such file or directory

Isso funciona mesmo que seu comando rm não implemente proteção para /.

Você está pensando em termos de linguagem de programação, mas bash é uma linguagem de script :-) Portanto, use um paradigma de instrução totalmente diferente para um paradigma de linguagem totalmente diferente .

Nesse caso:

rmdir ${build}

Como rmdirse recusará a remover um diretório não vazio, você deverá remover os membros primeiro. Você sabe o que são esses membros, certo? Provavelmente são parâmetros para o seu script ou derivados de um parâmetro, portanto:

rm -rf ${build}/${parameter}
rmdir ${build}

Agora, se você colocar alguns outros arquivos ou diretórios, como um arquivo temporário ou algo que não deveria, o rmdirerro será gerado . Manuseie-o corretamente e:

rmdir ${build} || build_dir_not_empty "${build}"

Esse modo de pensar me serviu bem porque ... sim, esteve lá, fez isso.