我的 python 程序需要提升权限,因此由 root 启动(使用 setuid-binary-wrapper)。
为了尽可能减少攻击面(以及编码错误的影响),我决定将我的代码分成两部分:一部分将作为 root
执行。另一个是regular user
权限。问题是,代码是相互依赖的,因此需要 secure two-way communication
.
我不知道这是否是正确的方法(欢迎其他想法),但我决定使用 two processes
- 一个具有提升权限的父进程和一个具有普通用户权限的子进程。
想法:
- 父进程由root启动并保留其特权
- 父进程产生一个子进程,该子进程下降到普通用户(子进程无法重新获得 root 权限)
- 子进程完成大部分工作,但如果它需要以 root 权限执行某些操作,它会告诉父进程为它做这件事
问题:
是
subprocess
(.Popen) 够了吗?会multiprocessing
更适合?子进程和父进程如何以交互和安全的方式进行通信(
subprocess.PIPE
安全吗)?您是否知道此场景某处的任何简单代码示例?
-------------------------------------------- --------------------------
根据 Gil Hamilton 的建议,我想出了以下代码
还有一些问题:
- 这安全吗?我是否需要删除文件描述符之类的其他内容,或者是
os.setuid(<unprivileged UID>)
够了吗? - 一般来说,如果一个进程像这样掉落到特定用户,这个用户是否能够干扰掉落进程的内存?
privileged.py
:
#!/bin/python
from multiprocessing import Process, Pipe
from unprivileged import Unprivileged
if __name__ == '__main__':
privilegedProcessPipeEnd, unprivilegedProcessPipeEnd = Pipe()
unprivilegedProcess = Process(target=Unprivileged(unprivilegedProcessPipeEnd).operate)
unprivilegedProcess.start()
print(privilegedProcessPipeEnd.recv())
privilegedProcessPipeEnd.send("ok")
print(privilegedProcessPipeEnd.recv())
privilegedProcessPipeEnd.send("nok")
privilegedProcessPipeEnd.close()
unprivilegedProcessPipeEnd.close()
unprivilegedProcess.join()
unprivileged.py
:
import os
class Unprivileged:
def __init__(self, unprivilegedProcessPipeEnd):
self._unprivilegedProcessPipeEnd = unprivilegedProcessPipeEnd
def operate(self):
invokerUid = os.getuid()
if invokerUid == 0:
# started by root; TODO: drop to predefined standard user
# os.setuid(standardUid)
pass
else:
# started by a regular user through a setuid-binary
os.setuid(invokerUid) # TODO: drop to predefined standard user (save invokerUid for future stuff)
# os.setuid(0) # not permitted anymore, cannot become root again
print("os.getuid(): " + str(os.getuid()))
self._unprivilegedProcessPipeEnd.send("invoke privilegedFunction1")
print(self._unprivilegedProcessPipeEnd.recv())
self._unprivilegedProcessPipeEnd.send("invoke privilegedFunction2")
print(self._unprivilegedProcessPipeEnd.recv())
return
main.c
(setuid 包装程序):
#include <unistd.h>
#define SCRIPT_PATH "/home/u1/project/src/privileged.py"
int
main(int argc,
char **argv) {
return execv(SCRIPT_PATH, argv);
}
/* compile and run like this:
$ gcc -std=c99 main.c -o main
# chown root:root main
# chmod 6771 main
$ chmod +x /home/u1/project/src/privileged.py
$ ./main
*/
最佳答案
这可以通过 Popen
完成,但在我看来这有点笨拙,因为您无法通过 Popen
控制进程转换。如果您依赖 UID 来削弱权限,则需要先fork
,然后在子代码中调整您的 UID,然后再调用其他子代码。
(没有真正的理由你不能把你的子代码放在一个单独的程序中,你用 Popen
调用并让它调整它的 UID 作为第一步,这在我看来是一种奇怪的方式构造它。)
我建议您看看使用 multiprocessing
模块。该模块使创建新进程变得容易(它将为您处理 fork )。然后您可以轻松地放入调整 UID 的代码(见下文),然后您可以在相同的“代码库”中运行子代码。也就是说,您不一定需要调用单独的程序。
multiprocessing
模块还提供了它自己的Pipe
对象以及Queue
对象,它们都是进程间通信机制。两者都是安全的——从某种意义上说,没有任何外部用户可以侵入它们(没有 root 权限)。但是当然,如果您的非特权子进程受到威胁,它可以将任何它想要的发送给父进程,因此您的特权父进程仍然需要验证/审核其输入。
multiprocessing
模块的文档提供了几个应该可以帮助您入门的简单示例。创建后,使用管道就像读写文件一样简单。
至于调整 UID,这只是在调用您希望作为非特权用户运行的代码之前,在子项中对 os.setuid
进行一次简单的调用。阅读 setuid(2)
和 credentials(7)
手册页了解更多信息。
关于python - 在 python 中保护 child 与 parent 的通信,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36270416/