cedricAbonnel/scripts-bash
1
0
Fork 0
Code Issues 2 Pull Requests Actions Packages Projects Releases Wiki Activity

fix: install.sh — corrections sécurité

Browse Source 
- set -uo pipefail : variables non définies et erreurs de pipe détectées
- grep -qF : chaîne fixe (le '.' des chemins n'est plus un wildcard regex)
- cp sans pipe : erreurs de copie détectées et remontées via error()
- add_to_bashrc() : idempotent, évite les doublons dans ~/.bashrc
- Validation des noms de fichiers : rejet des traversées de chemin (../)
- Vérification du répertoire de travail en début de script
- Suppression des commentaires de refactoring (#Point X)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
This commit is contained in:
Cédric Abonnel
2026-05-17 21:19:27 +02:00
parent e30ee21c12
commit 03b9505634
1 changed files with 43 additions and 28 deletions
Download Patch File Download Diff File Expand all files Collapse all files
install.sh
+42 -27
View File
@@ -1,18 +1,21 @@
#!/bin/bash #!/bin/bash
set -uo pipefail
# Script Bash - install.sh # Script Bash - install.sh
# Auteur : Cédric Abonnel # Auteur : Cédric Abonnel
# Description : Script d'installation des exécutables dans le répertoire '~/.local' # Description : Script d'installation des exécutables dans le répertoire '~/.local'
# Point 3 : log_dir créé immédiatement, avant tout appel à log() # Vérification du répertoire de travail (sécurité point 3)
[[ ! -d "local/bin" ]] && { echo "Erreur : lancer depuis la racine du projet scripts-bash"; exit 1; }
log_dir="${XDG_STATE_HOME:-$HOME/.local/state}/scripts-bash" log_dir="${XDG_STATE_HOME:-$HOME/.local/state}/scripts-bash"
mkdir -p "$log_dir" mkdir -p "$log_dir"
log_file="${log_dir}/a5l-scripts_bash-$(date '+%Y%m%d-%H%M%S')-$$.log" log_file="${log_dir}/a5l-scripts_bash-$(date '+%Y%m%d-%H%M%S')-$$.log"
error() { error() {
local error_message="$1" local msg="$1"
log "ERREUR: $error_message" log "ERREUR: $msg"
echo "Erreur: $error_message" echo "Erreur: $msg"
exit 1 exit 1
} }
@@ -39,33 +42,41 @@ add_uninstall() {
test -f "${uninstall_list}" || touch "${uninstall_list}" test -f "${uninstall_list}" || touch "${uninstall_list}"
local fichier_a_supprimer="$1" local fichier_a_supprimer="$1"
if ! grep -q "$fichier_a_supprimer" "$uninstall_list"; then # -F : chaîne fixe, pas regex — le '.' dans les chemins ne doit pas être un wildcard
if ! grep -qF "$fichier_a_supprimer" "$uninstall_list"; then
echo "$fichier_a_supprimer" >> "$uninstall_list" echo "$fichier_a_supprimer" >> "$uninstall_list"
log "- Le fichier '$fichier_a_supprimer' ajouté à la liste de fichiers installés" log "- Le fichier '$fichier_a_supprimer' ajouté à la liste de fichiers installés"
fi fi
} }
# Idempotent : n'ajoute la ligne dans ~/.bashrc que si elle n'y est pas déjà
add_to_bashrc() {
local line="$1"
if ! grep -qF "$line" ~/.bashrc; then
echo "$line" >> ~/.bashrc
return 0
fi
return 1
}
process_deployment_files() { process_deployment_files() {
local destination="$1" local destination="$1"
local source="$2" local source="$2"
local file_desc="$3" local file_desc="$3"
log "### Déploiement des fichiers pour $destination" log "### Déploiement des fichiers pour $destination"
# Point 4 : create_dir n'est appelé qu'ici, pas en double dans les blocs appelants
create_dir "$destination" create_dir "$destination"
log "Vérification de l'existence de '$file_desc'" log "Vérification de l'existence de '$file_desc'"
if [ ! -e "$file_desc" ]; then [ ! -e "$file_desc" ] && error "Le fichier '$file_desc' n'existe pas. Votre dépôt Git local n'est pas complet."
error "Le fichier '$file_desc' n'existe pas. Votre dépôt Git local n'est pas complet ou quelque chose s'est mal passé."
fi
log "Copie des fichiers listés dans $file_desc." log "Copie des fichiers listés dans $file_desc."
# Points 2 et 5 : mapfile + tableau quoté, plus de word-splitting
mapfile -t fileslist_local < "$file_desc" mapfile -t fileslist_local < "$file_desc"
for file in "${fileslist_local[@]}"; do for file in "${fileslist_local[@]}"; do
local file_type file_dest # Rejet des traversées de chemin et noms absolus
[[ "$file" == *"/"* ]] && error "Nom de fichier invalide (chemin interdit) : '$file'"
local file_type file_dest cp_out
file_type=$(file -b "$source/$file") file_type=$(file -b "$source/$file")
if [[ "$file_type" == *"Bourne-Again shell script"* ]]; then if [[ "$file_type" == *"Bourne-Again shell script"* ]]; then
log "$file est un fichier Bash." log "$file est un fichier Bash."
@@ -74,17 +85,19 @@ process_deployment_files() {
else else
file_dest="${file}" file_dest="${file}"
fi fi
cp -v "$source/$file" "$destination/$file_dest" 2>&1 | while read -r line; do
log "- $line" # Capture séparée sortie/statut : pas de pipe qui masquerait les erreurs de cp
done if ! cp_out=$(cp -v "$source/$file" "$destination/$file_dest" 2>&1); then
error "Échec de la copie de '$file' vers '$destination/$file_dest' : $cp_out"
fi
log "- $cp_out"
add_uninstall "$destination/$file_dest" add_uninstall "$destination/$file_dest"
done done
# Point 6 : $destination (variable locale), plus $destination_dir (variable globale)
log "Les fichiers du dépôt Git local ont été copiés vers $destination avec succès." log "Les fichiers du dépôt Git local ont été copiés vers $destination avec succès."
} }
# Point 8 : un seul find avec pattern commun
purge_old_logs() { purge_old_logs() {
find "$log_dir" -type f -name "a5l-*.log" -mtime +10 -exec rm {} \; find "$log_dir" -type f -name "a5l-*.log" -mtime +10 -exec rm {} \;
} }
@@ -92,7 +105,6 @@ purge_old_logs() {
log "Debut du script" log "Debut du script"
purge_old_logs purge_old_logs
# Point 7 : tableaux parallèles, plus de blocs répétitifs
declare -a SRCS=( declare -a SRCS=(
"local/share/ytdll" "local/share/ytdll"
"local/share/ytdll/lib" "local/share/ytdll/lib"
@@ -120,19 +132,22 @@ for i in "${!SRCS[@]}"; do
process_deployment_files "${DSTS[$i]}" "${SRCS[$i]}" "${DESCS[$i]}" process_deployment_files "${DSTS[$i]}" "${SRCS[$i]}" "${DESCS[$i]}"
done done
# Ajout de ~/.local/share/man au MANPATH si nécessaire # Ajout de ~/.local/share/man au MANPATH (idempotent, sans source inutile)
manpath_parent="$HOME/.local/share/man" manpath_parent="$HOME/.local/share/man"
if [[ ! ":$(manpath):" == *":$manpath_parent:"* ]]; then if [[ ! ":$(manpath):" == *":$manpath_parent:"* ]]; then
echo 'export MANPATH="$(manpath):'"$manpath_parent"'"' >> ~/.bashrc manpath_line='export MANPATH="$(manpath):'"$manpath_parent"'"'
# Point 1 : source ~/.bashrc supprimé — sans effet dans un sous-shell if add_to_bashrc "$manpath_line"; then
log " $manpath_parent ajouté au MANPATH dans ~/.bashrc. Rechargez votre terminal pour appliquer." log " $manpath_parent ajouté au MANPATH dans ~/.bashrc. Rechargez votre terminal pour appliquer."
fi
fi fi
# Ajout de ~/.local/bin au PATH si nécessaire # Ajout de ~/.local/bin au PATH (idempotent, sans source inutile)
if [[ ! ":$PATH:" == *":$HOME/.local/bin:"* ]]; then bin_dir="$HOME/.local/bin"
echo 'export PATH="$PATH:'"$HOME/.local/bin"'"' >> ~/.bashrc if [[ ! ":$PATH:" == *":$bin_dir:"* ]]; then
# Point 1 : source ~/.bashrc supprimé — sans effet dans un sous-shell path_line='export PATH="$PATH:'"$bin_dir"'"'
log " $HOME/.local/bin ajouté au PATH dans ~/.bashrc. Rechargez votre terminal pour appliquer." if add_to_bashrc "$path_line"; then
log " $bin_dir ajouté au PATH dans ~/.bashrc. Rechargez votre terminal pour appliquer."
fi
fi fi
log "## Fin du script. Bonne continuation." log "## Fin du script. Bonne continuation."