python子进程popen以不同用户身份执行

Question

我正在尝试以 popen 和 subprocess 的不同用户身份在 python 3.6 中执行命令，但它仍将以调用脚本的用户身份执行（我打算以 root 身份调用它）。我正在使用线程，因此当 2 个线程并行执行时，不要侵犯用户权限，这一点很重要。

proc = subprocess.Popen(['echo $USER; touch myFile.txt'],
                          shell=True,
                          env={'FOO':'bar', 'USER':'www-data'},
                          stdout=subprocess.PIPE)

上面的例子仍然会用我的user_id 1000创建myFile.txt

我尝试了不同的方法：

1. 按照Run child processes as different user from a long running Python process 中的描述尝试通过复制 os.environment 并更改用户等
   （注意这是针对 python 2）

2. 按照https://docs.python.org/3.6/library/subprocess.html#popen-constructor 中的描述尝试使用start_new_session=True

我最后的选择是在命令前加上sudo -u username command，但我认为这不是优雅的方式。

Answer 1

[仅 POSIX] 的标准方法是使用 preexec_fn 设置 gid 和 uid，如 this answer 中更详细描述的那样

这样的事情应该可以解决问题——为了完整起见，我还修改了您的初始 sn-p 以包含您可能想要设置的其他环境变量，但只需设置 preexec_fn 就足够了您正在运行的命令：

import os, pwd, subprocess

def demote(user_uid, user_gid):
    def result():
        os.setgid(user_gid)
        os.setuid(user_uid)
    return result

def exec_cmd(username):
    # get user info from username
    pw_record = pwd.getpwnam(username)
    homedir = pw_record.pw_dir
    user_uid = pw_record.pw_uid
    user_gid = pw_record.pw_gid
    env = os.environ.copy()
    env.update({'HOME': homedir, 'LOGNAME': username, 'PWD': os.getcwd(), 'FOO': 'bar', 'USER': username})

    # execute the command
    proc = subprocess.Popen(['echo $USER; touch myFile.txt'],
                              shell=True,
                              env=env,
                              preexec_fn=demote(user_uid, user_gid),
                              stdout=subprocess.PIPE)
    proc.wait()


exec_cmd('www-data')

请注意，您还需要确保降级用户可以访问当前工作目录（例如用于写入），因为没有明确覆盖它