如何在unix系统中用别的用户运行一个程序?

时间:2024-11-05 12:05:08

1、问题的缘由

实际开发系统的时候,经常需要用别的用户运行一个程序。比如,有些系统为保证系统安全,不允许使用root来运行。这里,我们总结了unix系统下如何解决这个问题的一些方法。同时,我们还讨论如何在python脚本里实现。

2、unix系统的方法

2.1、runuser

runuser允许使用替代用户和组ID来运行命令。如果选项-u没有给出,则回退到su兼容的语义和shell被执行。

  • runuser和su命令之间的区别在于runuser不要求输入密码(因为它可能仅由root用户执行),它使用不同的PAM配置。命令runuser不必与suid权限一起安装。
  • 当没有参数调用时,runuser默认以root用户身份运行交互式shell。
  • 为了向后兼容,runuser默认不更改当前目录并仅设置环境变量HOME和SHELL(加上USER和LOG- 如果目标用户不是root用户,则为NAME)。此版本的runuser使用PAM进行会话管理

用法:

runuser [options] -u <USER> COMMAND
runuser [options] [-] [USER [arg]...]

案例:

 runuser -l elastic -c "ls /var/opt/elastic"

如果当前用户不是root:

runuser: may not be used by non-root users

2.2、su

su允许使用替代用户和组ID来运行命令。

  • 当没有参数的情况下调用su时默认以root身份运行交互式shell。
  • 为了向后兼容,su默认不更改当前目录并仅设置环境变量HOME和SHELL(如果目标用户不是root的话,加上USER和LOGNAME)。
  • 建议始终使用--login选项(而不是快捷方式-),以避免混合环境导致的副作用,
  • su使用PAM进行认证,帐户和会话管理。在其他su实现中有一些配置选项,例如 必须通过PAM配置wheel组的支持。

案例:

$ su -l elastic
Password:*****

$ whoami
elastic

2.3、sudo

sudo允许允许的用户按照安全策略的规定,以超级用户或其他用户的身份执行命令。

  • sudo支持安全策略和输入/输出日志记录的插件体系结构。第三方可以开发和分发自己的策略和I / O日志插件与sudo前端无缝协作。
  • 默认安全策略是sudoers,通过/ etc / sudoers文件或通过LDAP配置。看PLUGINS部分获取更多信息。
  • 安全策略确定用户必须运行sudo的权限(如果有的话)。该政策可能要求用户使用密码或另一种认证机制验证自己身份。如果需要验证,如果用户的密码未在可配置的时间限制内输入,则sudo将退出。sudoers安全策略的默认密码提示超时为5分钟。安全策略可以支持凭证缓存,以允许用户在不需要认证的情况下再次运行sudo一段时间。 sudoers 安全策略的缓存凭证5分钟,除非在sudoers(5)中覆盖。通过使用-v选项运行sudo,用户无需更新缓存的凭据
         运行一个命令。当作为sudoedit被调用时,隐含-e选项。安全策略可能会记录成功和失败的尝试使用sudo。如果配置了I / O插件,则记录运行命令的输入和输出。

案例:

sudo -u jim -g audio vi ~jim/sound.txt

2.4、总结

命令

root到用户

用户到root

任何用户间

身份验证

系统支持

日志

解释

runuser

Y

N

N

不需要

Linux:是

Solaris:不

MacOS:是

N/A

不用身份验证,效率较高

su

Y

Y

Y

目标用户的密码

Linux:是

Solaris:是

MacOS:是

/var/log/auth.log

/var/log/secure

必须提供用户密码

sudo

Y

Y

Y

用户需要验证本人身份

Linux:是

Solaris:不

MacOS:是

/var/log/auth.log

/var/log/secure

用户必须是wheel组的成员,可以执行管理员的工作

3、python脚本的方法

在实际工作中,越来越多需要用python来自动化任务、集成不同的部件、处理数据。很多时候会碰到同样问题:如何在python脚本中调用不同用户来运行程序。

  • 定义一个函数来设置正在运行的进程的gid和uid。
  • 将此函数作为preexec_fn参数传递给subprocess.Popen

subprocess.Popen将使用fork / exec模型来使用preexec_fn。这等同于按顺序调用

  • os.fork(),
  • preexec_fn()(在子进程中),
  • os.exec()(在子进程中)

必须注意,由于os.setuid,os.setgid和preexec_fn仅在Unix上受支持,因此此解决方案仅支持unix及相关系统。

import os, pwd, subprocess, sys

# set gid and uid
def demote(user_uid, user_gid):
def result():
os.setgid(user_gid)
os.setuid(user_uid)
return result # run a command under a new user
def run_command(cmd, user_name, cwd):
pw_record = pwd.getpwnam(user_name)
user_name = pw_record.pw_name
user_uid = pw_record.pw_uid
user_gid = pw_record.pw_gid # get env variable
env = os.environ.copy()
env[ 'HOME' ] = pw_record.pw_dir
env[ 'LOGNAME' ] = user_name
env[ 'PWD' ] = cwd
env[ 'USER' ] = user_name
proc = subprocess.Popen(cmd,
preexec_fn=demote(user_uid, user_gid),
cwd=cwd, env=env )
return proc.communicate()