Какой канонический способ заставить выскочившее задание изменить свой ИД пользователя и запустить скрипт как непривилегированный пользователь?
Очевидно, что можно использовать su
или sudo
, но это кажется хакерским (и может генерировать ненужные строки журнала).
initctl --version
чтобы найти вашу текущую версию выскочки.Спрашивая на канале #upstart на freenode, официальный ответ на этот вопрос таков:
источник
su
это означает, чтоexpect fork
и дажеexpect daemon
не поймать окончательный PID.exec su -s /bin/sh -c 'HOME=/foo/bar exec "$0" "$@" &>/var/log/foobar.log' username -- /path/to/command [parameters...]
Как насчет использования start-stop-daemon?
Из кулинарной книги Upstart :
Примечание:
start-stop-daemon
не поддерживается в RHEL.источник
Есть несколько способов сделать это, все с немного другой семантикой, особенно относящейся к членству в группе:
setuidgid
поместит вас в указанную вами группу.setuidgid
вас только в эту группу, поэтому вы не сможете получить доступ к файлам, принадлежащим другим группам, членом которых вы являетесь.setuidgid
От DaemonTools-бис аsetuidgid
из Nosh набора инструментов оба имеют-s
(он же--supplementary
) вариант , который поставит вас в этой группе, а также поставить вас во всех дополнительных групп для пользователя , который вы укажете.Использование, как
newgrp
только вы станете менее привилегированным пользователем, добавит одну группу к вашему набору групп, но также создаст новый подоболочек, что затруднит использование внутри скриптов.start-stop-daemon
сохраняет членство в вашей группе и делает гораздо больше, чем просто setuid / setgid.chpst -u username:group1:group2:group3... commandname
позволит вам точно указать, какие членства в группах следует принять, но (в Ubuntu ) он поставляется только сrunit
пакетом, который является альтернативойupstart
.su -c commandname username
собирает все членство в группах с именем пользователя, как и раньшеsudo -u username commandname
, так что они, вероятно, путь к наименьшему изумлению.источник
Используйте
setuidgid
из пакетаdaemontools
.Документация здесь: http://cr.yp.to/daemontools/setuidgid.html
источник
На экземпляре Ubuntu 10.10 на Amazon EC2 мне повезло с этой
start-stop-daemon
командой.Я также боролся с некоторыми другими выскочившими строфами . Я вызываю приложение Python с конкретными
virtualenv
и некоторыми параметрами для моей исполняемой программы.Вот что сработало для меня.
PYTHONPATH
, Чтобы получить некоторые пакеты , установленные из источника в PYTHON путь модуля при выполнении этого выскочки работы. Я должен был делать все по абсолютному пути, потому чтоchdir
строфа, похоже, не работала.источник
Я использовал CentOS 6, и я не смог заставить рекомендованный хак (для Upstart 0.6.5) работать на меня, ни трюк 'su', потому что количество задействованных вилок (4, я думаю) не отслеживалось ожидаемым форком или ожидайте демона.
В конце концов я просто сделал
(т.е. установите бит setuid и смените владельца).
Возможно, это не самый безопасный метод, но для внутреннего проекта НИОКР в нашем случае это не имело значения.
источник
chmod 1700
или хотя быchmod u+sx,go-x
там, а не просто+s
, это квалифицировалось бы как «достаточно безопасный». :)Существует третья возможность в зависимости от того, что вы пытаетесь достичь. Возможно, вы сможете ослабить контроль доступа к файлам / устройствам, о которых идет речь . Это может позволить непривилегированному пользователю монтировать или получать доступ к элементам, к которым он обычно не имеет права. Просто убедитесь, что вы не отдаете ключи от королевства в процессе.
Вы также можете изменить тайм-аут кэша паролей sudo . Но я не рекомендую его, если ваша машина не физически защищена (то есть вы считаете, что маловероятно, что прохожий попытается получить доступ к sudo).
Есть веская причина, по которой существует очень мало способов выполнения привилегированных действий и что они выполняют
ненужнуюнеобходимую регистрацию. Свободные ограничения могут быть угрозой безопасности для вашей системы, а отсутствие журналирования означает, что невозможно узнать, что произошло, когда вы были скомпрометированы.Если размер ваших файлов журнала имеет значение, возможно, что-то не так. Судо генерирует только одну линию за использование в нормальных условиях.
источник
В CentOS 6, upstart 0.6.5, вот что сработало для меня.
или же :
При использовании
процесс работы не может быть остановлен
initclt stop
. Я думаю, что причина в том, что:источник