以 root 身份执行 Python 脚本（seteuid vs c-wrapper）

Question

我想从 Django（www 用户）调用的 python 脚本中有一个快速的一次性任务，这将需要 root 权限。

起初我以为我可以使用 Python 的 os.seteuid() 并在脚本上设置 setuid 位，但后来我意识到我必须在 Python 本身上设置 setuid 位，我认为这是很大的不不.据我所知，如果使用 sudo 也会出现这种情况，我真的很想避免这种情况。

此时，我正在考虑编写一个使用 seteuid 的 C 包装器，并以 root 身份调用我的 python 脚本，并将必要的参数传递给它。

这是正确的做法还是我应该看其他东西？

Answer 1

sudo 在 Python 上不需要 setuid 位。您只能为一个命令启用 sudo，没有参数：

 www          ALL=(ALL)       NOPASSWD:  /root/bin/reload-stuff.py ""

如果您的脚本不带任何参数、不能被 www 用户覆盖并且 sudo 执行“env_reset”（大多数发行版中的默认设置），这将是安全的。

您可以接受参数，但要非常小心——不要使用输出文件名，确保验证所有输入。在这种情况下，请从 sudo 行的末尾删除“”。

Answer 2

正确的做法称为权限分离：清楚地确定必须在提升的权限上完成的最小任务集。编写一个单独的守护进程和一个尽可能有限的方式来传达要完成的任务。以具有提升权限的另一个用户身份运行此守护程序。多一点工作，但也更安全。

编辑：使用 setuid-able 包装器也将满足权限分离的概念，尽管我建议让 web 服务器 chroot 并安装 chrooted 文件系统 nosuid（这会失败）。

Answer 3

sudo 允许您限制传递给程序的参数。来自man sudoers：

john           ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*

On the ALPHA machines, user john may su to anyone except root but
he is not allowed to specify any options to the su(1) command.

所以使用 sudo。当然，您需要格外小心 root 访问权限 - 确保只有 root 可以修改脚本本身和任何父目录，并且脚本是安全的，并且只执行需要以 root 身份运行的绝对最小值。