我有一个长时间运行的守护程序 Python 进程,当某些事件发生时,它使用子进程生成新的子进程。长时间运行的进程由具有超级用户权限的用户启动。我需要它生成的子进程作为不同的用户(例如“nobody”)运行,同时保留父进程的超级用户权限。
我正在使用
su -m nobody -c <program to execute as a child>
但这似乎是重量级的,并没有死得很干净。
有没有办法以编程方式而不是使用 su 来完成此任务?我正在查看 os.set*uid 方法,但 Python std lib 中的文档在该区域非常稀疏。
【问题讨论】:
标签: python fork subprocess setuid
既然你提到了一个守护进程,我可以断定你是在一个类 Unix 操作系统上运行的。这很重要,因为如何做到这一点取决于操作系统的种类。此答案仅适用于 Unix,包括 Linux 和 Mac OS X。
subprocess.Popen 将使用 fork/exec 模型来使用您的 preexec_fn。这相当于按顺序调用 os.fork()、preexec_fn()(在子进程中)和 os.exec()(在子进程中)。由于 os.setuid、os.setgid 和 preexec_fn 都只在 Unix 上支持,因此该解决方案不能移植到其他类型的操作系统。
以下代码是一个脚本 (Python 2.4+),演示了如何执行此操作:
import os
import pwd
import subprocess
import sys
def main(my_args=None):
if my_args is None: my_args = sys.argv[1:]
user_name, cwd = my_args[:2]
args = my_args[2:]
pw_record = pwd.getpwnam(user_name)
user_name = pw_record.pw_name
user_home_dir = pw_record.pw_dir
user_uid = pw_record.pw_uid
user_gid = pw_record.pw_gid
env = os.environ.copy()
env[ 'HOME' ] = user_home_dir
env[ 'LOGNAME' ] = user_name
env[ 'PWD' ] = cwd
env[ 'USER' ] = user_name
report_ids('starting ' + str(args))
process = subprocess.Popen(
args, preexec_fn=demote(user_uid, user_gid), cwd=cwd, env=env
)
result = process.wait()
report_ids('finished ' + str(args))
print 'result', result
def demote(user_uid, user_gid):
def result():
report_ids('starting demotion')
os.setgid(user_gid)
os.setuid(user_uid)
report_ids('finished demotion')
return result
def report_ids(msg):
print 'uid, gid = %d, %d; %s' % (os.getuid(), os.getgid(), msg)
if __name__ == '__main__':
main()
你可以像这样调用这个脚本:
以 root 身份启动...
(hale)/tmp/demo$ sudo bash --norc
(root)/tmp/demo$ ls -l
total 8
drwxr-xr-x 2 hale wheel 68 May 17 16:26 inner
-rw-r--r-- 1 hale staff 1836 May 17 15:25 test-child.py
在子进程中成为非 root...
(root)/tmp/demo$ python test-child.py hale inner /bin/bash --norc
uid, gid = 0, 0; starting ['/bin/bash', '--norc']
uid, gid = 0, 0; starting demotion
uid, gid = 501, 20; finished demotion
(hale)/tmp/demo/inner$ pwd
/tmp/demo/inner
(hale)/tmp/demo/inner$ whoami
hale
当子进程退出时,我们回到父进程的root ...
(hale)/tmp/demo/inner$ exit
exit
uid, gid = 0, 0; finished ['/bin/bash', '--norc']
result 0
(root)/tmp/demo$ pwd
/tmp/demo
(root)/tmp/demo$ whoami
root
注意让父进程等待子进程退出只是为了演示目的。我这样做是为了让父母和孩子可以共享一个终端。守护进程没有终端,很少等待子进程退出。
【讨论】:
gid,如示例所示!
SubprocessError Exception occurred in preexec_fn,请确保在def result() 函数中os.setgid(user_gid) 出现在之前 os.setuid(user_uid)。在运行Python 3.7.7 的Fedora 上,顺序无关紧要(即无论哪种方式都有效);但是在 Ubuntu Bionic 运行 Python 3.7.7 时,这很重要!奇怪但真实。所以要安全,只需使用上面的顺序。希望对其他搜索者有所帮助。
有一个os.setuid() 方法。您可以使用它来更改此脚本的当前用户。
一种解决方案是,在孩子开始的地方,调用os.setuid() 和os.setgid() 来更改用户和组ID,然后调用os.exec* 方法之一来生成一个新孩子。新生成的孩子将与较弱的用户一起运行,而无法再次成为更强大的用户。
另一种方法是在守护进程(主进程)启动时执行此操作,然后所有新生成的进程都将在同一用户下运行。
有关信息,请查看manpage for setuid。
【讨论】:
os.setgroups()。除此之外,是的,它非常简单。
实际上,preexec_fn 的示例对我不起作用。
我的解决方案可以很好地从另一个用户运行一些 shell 命令并获取其输出:
apipe=subprocess.Popen('sudo -u someuser /execution',shell=True,stdout=subprocess.PIPE)
那么,如果需要从进程stdout中读取:
cond=True
while (cond):
line=apipe.stdout.getline()
if (....):
cond=False
希望,它不仅对我有用。
【讨论】:
Python 的新版本(3.9 以上)支持user 和group 选项out of the box:
process = subprocess.Popen(args, user=username)
新版本还提供了subprocess.run 功能。它是subprocess.Popen 的简单包装器。 suprocess.Popen 在后台运行命令,subprocess.run 运行命令并等待它们完成。
因此我们也可以这样做:
subprocess.run(args, user=username)
【讨论】:
在 sudo 上启用用户不需要密码
username ALL=(ALL) NOPASSWD: ALL
然后用sudo调用根函数,例如:
import pexpect
child = pexpect.spawn('sudo apachectl restart')
for i in child: print i #if you want to see the output from the process
【讨论】:
sudo 对所有内容的权限是没有意义的;这并没有提供任何防止滥用进程的安全性,并在控制台上为滥用打开了一个漏洞。如果需要sudo,您至少应该将其限制为本地主机和所需的命令/二进制文件,例如。 G。 <username> <hostname> = (root) NOPASSWD: /sbin/mkfs.ext4