我认为,运行在内部使用sudo进行填充的脚本是错误的。更好的方法是让用户使用sudo运行整个脚本,并让脚本分叉较弱特权的子级来执行操作:
# Drops privileges to that of the specified userdef drop_priv user Process.initgroups(user.username, user.gid) Process::Sys.setegid(user.gid) Process::Sys.setgid(user.gid) Process::Sys.setuid(user.uid)end# Execute the provided block in a child process as the specified user# The parent blocks until the child finishes.def do_as_user user unless pid = fork drop_priv(user) yield if block_given? exit! 0 # prevent remainder of script from running in the child process end puts "Child running as PID #{pid} with reduced privs" Process.wait(pid)endat_exit { puts 'script finished.' }User = Struct.new(:username, :uid, :gid)user = User.new('nobody', 65534, 65534)do_as_user(user) do sleep 1 # do something more useful here exit! 2 # optionally provide an exit preendputs "Child exited with status #{$?.exitstatus}"puts 'Running stuff as root'sleep 1do_as_user(user) do puts 'Doing stuff as a user' sleep 1end此示例脚本具有两个帮助程序方法。#drop_priv接受一个定义了用户名,uid和gid的对象,并 适当
减少执行进程的权限。#do_as_user方法在屈服提供的块之前,在子进程中调用#drop_priv。注意使用#exit!以防止子代在块外运行脚本的任何部分,同时避免使用at_exit挂钩。
通常会忽略以下安全问题:
- 打开文件描述符的继承
- 环境变量过滤
- 在chroot中运行子项?
根据脚本的功能,可能需要解决所有这些问题。#drop_priv是处理所有这些问题的理想场所。
