我有一个长时间运行的、守护进程的 Python 进程,当发生某些事件时,它使用 subprocess 来生成新的子进程。长时间运行的进程是由具有超级用户特权的用户启动的。我需要它生成的子进程以另一个用户(例如"nobody")身份运行,同时为父进程保留超级用户权限。
我目前正在使用
su -m nobody -c <program to execute as a child>
但这种方法看起来很笨重,而且退出不够干净。
是否有一种编程方式可以实现这个目标,而不是使用su?我正在查看os.set*uid方法,但Python标准库中该领域的文档非常稀少。
由于您提到了一个守护进程,我可以推断出您正在运行类Unix操作系统。这很重要,因为如何做这取决于操作系统的类型。此答案仅适用于Unix,包括Linux和Mac OS X。
subprocess.Popen将使用fork/exec模型来使用您的preexec_fn。这相当于按顺序调用os.fork()、preexec_fn()(在子进程中)和os.exec()(在子进程中)。由于os.setuid、os.setgid和preexec_fn都仅受支持于Unix,因此此解决方案不可移植到其他类型的操作系统。
以下代码是一个脚本(Python 2.4+),演示了如何执行此操作:
import os
import pwd
import subprocess
import sys
def main(my_args=None):
if my_args is None: my_args = sys.argv[1:]
user_name, cwd = my_args[:2]
args = my_args[2:]
pw_record = pwd.getpwnam(user_name)
user_name = pw_record.pw_name
user_home_dir = pw_record.pw_dir
user_uid = pw_record.pw_uid
user_gid = pw_record.pw_gid
env = os.environ.copy()
env[ 'HOME' ] = user_home_dir
env[ 'LOGNAME' ] = user_name
env[ 'PWD' ] = cwd
env[ 'USER' ] = user_name
report_ids('starting ' + str(args))
process = subprocess.Popen(
args, preexec_fn=demote(user_uid, user_gid), cwd=cwd, env=env
)
result = process.wait()
report_ids('finished ' + str(args))
print 'result', result
def demote(user_uid, user_gid):
def result():
report_ids('starting demotion')
os.setgid(user_gid)
os.setuid(user_uid)
report_ids('finished demotion')
return result
def report_ids(msg):
print 'uid, gid = %d, %d; %s' % (os.getuid(), os.getgid(), msg)
if __name__ == '__main__':
main()
以root身份启动...
(hale)/tmp/demo$ sudo bash --norc
(root)/tmp/demo$ ls -l
total 8
drwxr-xr-x 2 hale wheel 68 May 17 16:26 inner
-rw-r--r-- 1 hale staff 1836 May 17 15:25 test-child.py
如何在子进程中降低权限,避免成为root用户?
(root)/tmp/demo$ python test-child.py hale inner /bin/bash --norc
uid, gid = 0, 0; starting ['/bin/bash', '--norc']
uid, gid = 0, 0; starting demotion
uid, gid = 501, 20; finished demotion
(hale)/tmp/demo/inner$ pwd
/tmp/demo/inner
(hale)/tmp/demo/inner$ whoami
hale
当子进程退出时,父进程会回到根目录。
(hale)/tmp/demo/inner$ exit
exit
uid, gid = 0, 0; finished ['/bin/bash', '--norc']
result 0
(root)/tmp/demo$ pwd
/tmp/demo
(root)/tmp/demo$ whoami
root
注意,让父进程等待子进程退出仅供演示目的。我这样做是为了让父进程和子进程可以共享一个终端。守护程序将没有终端,也很少等待子进程退出。
user和group选项,详情请参见文档。process = subprocess.Popen(args, user=username)
subprocess.run函数,它是对subprocess.Popen的简单包装。而suprocess.Popen在后台运行命令,subprocess.run则运行命令并等待它们完成。subprocess.run(args, user=username)
有一个 os.setuid() 方法,你可以使用它来为脚本更改当前用户。
其中一种解决方案是,在子进程开始的某个位置调用os.setuid()和os.setgid()方法来更改用户和组ID,然后调用os.exec*方法之一来生成一个新的子进程。新生成的子进程将以较低权限的用户运行,无法再次成为更高权限的用户。
另一种解决方案是在守护进程(主进程)启动时执行设置,然后所有新生成的进程都将在同一个用户下运行。
如需了解更多信息,请参阅setuid的man页。
os.setgroups()。除此之外,这很简单明了。 - bobince实际上,使用preexec_fn的示例对我不起作用。
我的解决方案是从另一个用户运行一些shell命令并获取其输出,它目前可以正常工作:
apipe=subprocess.Popen('sudo -u someuser /execution',shell=True,stdout=subprocess.PIPE)
cond=True
while (cond):
line=apipe.stdout.getline()
if (....):
cond=False
希望这不仅对我有用。
SubprocessError Exception occurred in preexec_fn,请确保在def result()函数中,os.setgid(user_gid)在os.setuid(user_uid)之前 。在运行Python 3.7.7的Fedora中,顺序无关紧要(即两种方式都可以工作);但是在运行Python 3.7.7的Ubuntu Bionic上,这一点很重要! 真奇怪。所以请安全起见,只使用上述顺序。希望这能帮助其他搜索者。 - NYCeyes