Прочитайте та підтвердьте скрипт оболонки перед тим, як переходити з curl до sh (curl -s [url] | sh)

Щоразу, коли мені доводиться виконувати сценарій оболонки з Інтернету curl -s [url] | sh, я спочатку відкриваю urlсвій веб-браузер, щоб переконатися, що скрипт не є шкідливим і безпечним для запуску.

Я пам’ятаю, що бачив трюк командного рядка, завдяки якому можна було прочитати скрипт із командного рядка та підтвердити виконання після прочитання сценарію. Якщо я пригадую правильно, це виглядало приблизно так curl -s [url] | something...here | shі не потребувало встановлення програмного забезпечення.

Хтось знає цю хитрість?

Існує утиліта, що moreutilsназивається, vipeщо показує stdin в редакторі, де ви можете переглядати та змінювати файл, перш ніж він перейде до stdout.

Якщо ви не хочете встановлювати moreutils, ви можете виконати щось подібне:

file=$(mktemp); curl -s "$url" > $file; $EDITOR $file; sh $file; rm $file

mktempзнаходиться в coreutilsі, швидше за все, вже встановлено у вашій системі.

Я не можу придумати жодної утиліти, яка б зробила те, що ви описуєте, але досить просто зробити фрагмент оболонки.

script=$(curl -s "$url")
printf "%s\nDo you want to run this script? [yN]" "$script"
read line
case $line in
  [Yy]|[Yy][Ee][Ss]) sh -c "$script";;
esac

Це передбачає, що сценарій є текстовим файлом. Нульові байти не підтримуються: залежно від оболонки вони можуть бути видалені або можуть спричинити врізання рядка або всього файлу. Також всі нові рядки в кінці файлу видаляються (конструкція heredoc додає одну задню частину). Зазвичай це не є проблемою для сценарію, але це може бути, наприклад, якщо сценарій закінчується архівом у двійковому форматі, який він витягує. Це не дуже надійний спосіб розповсюдження файлу, оскільки існує значний ризик неправильного кодування такого бінарного сценарію в якийсь момент. Тим не менш, ви можете впоратися з цим, записавши сценарій у тимчасовий файл.

script_file=$(mktemp)
curl -s "$url" | tee "$script_file"
printf "Do you want to run this script? [yN]"
read line
case $line in
  [Yy]|[Yy][Ee][Ss]) sh "$script_file";;
esac
rm "$script_file"

Важко уявити, чому ви навіть хотіли б це зробити, не кажучи вже про те, де ви знайдете джерело (або джерела) сценаріїв для завантаження та запуску так часто, що для цього потрібен інструмент спеціального призначення.

Чому б просто не завантажити скрипт з curl(або wgetабо snarfбудь-яким іншим), вивчити його та відредагувати (це рідкісний сценарій, який не потребує певної настройки для вашої конкретної системи), а потім запустити його - або зробивши його виконуваним за допомогою chmodабо з sh scriptname?

Використовуйте цей командний рядок:

curl URL | ( cat > /tmp/file; read REPLY; [[ ! $REPLY =~ ^[Yy]$ ]] && cat /tmp/file ) | sh

Ви можете використовувати для цього невелику функцію:

curlsh()
{
    curl "$1" \
    | ( cat > /tmp/file;read REPLY; [[ ! $REPLY =~ ^[Yy]$ ]] && cat /tmp/file ) \
    | sh
}

І чим використовувати його таким чином:

curlsh http://site.in.net/path/to/script

Якщо припустимо, що ваш читання знає -p (підказка), і сценарій не повинен виконуватися за допомогою інтерпретатора, визначеного шебангом:

curl URL | tee /tmp/x && read -p "execute?" key ; test $key = y && sh /tmp/x