1、问题的缘由
实际开发系统的时候,经常需要用别的用户运行一个程序。比如,有些系统为保证系统安全,不允许使用root来运行。这里,我们总结了unix系统下如何解决这个问题的一些方法。同时,我们还讨论如何在python脚本里实现。
2、unix系统的方法
2.1、runuser
runuser允许使用替代用户和组ID来运行命令。如果选项-u没有给出,则回退到su兼容的语义和shell被执行。
- runuser和su命令之间的区别在于runuser不要求输入密码(因为它可能仅由root用户执行),它使用不同的PAM配置。命令runuser不必与suid权限一起安装。
- 当没有参数调用时,runuser默认以root用户身份运行交互式shell。
- 为了向后兼容,runuser默认不更改当前目录并仅设置环境变量HOME和SHELL(加上USER和LOG- 如果目标用户不是root用户,则为NAME)。此版本的runuser使用PAM进行会话管理
用法:
runuser [options] -u <USER> COMMAND
runuser [options] [-] [USER [arg]...]
案例:
runuser -l elastic -c "ls /var/opt/elastic"
如果当前用户不是root:
runuser: may not be used by non-root users
2.2、su
su允许使用替代用户和组ID来运行命令。
- 当没有参数的情况下调用su时默认以root身份运行交互式shell。
- 为了向后兼容,su默认不更改当前目录并仅设置环境变量HOME和SHELL(如果目标用户不是root的话,加上USER和LOGNAME)。
- 建议始终使用--login选项(而不是快捷方式-),以避免混合环境导致的副作用,
- su使用PAM进行认证,帐户和会话管理。在其他su实现中有一些配置选项,例如 必须通过PAM配置wheel组的支持。
案例:
$ su -l elastic
Password:*****
$ whoami
elastic
2.3、sudo
sudo允许允许的用户按照安全策略的规定,以超级用户或其他用户的身份执行命令。
- sudo支持安全策略和输入/输出日志记录的插件体系结构。第三方可以开发和分发自己的策略和I / O日志插件与sudo前端无缝协作。
- 默认安全策略是sudoers,通过/ etc / sudoers文件或通过LDAP配置。看PLUGINS部分获取更多信息。
- 安全策略确定用户必须运行sudo的权限(如果有的话)。该政策可能要求用户使用密码或另一种认证机制验证自己身份。如果需要验证,如果用户的密码未在可配置的时间限制内输入,则sudo将退出。sudoers安全策略的默认密码提示超时为5分钟。安全策略可以支持凭证缓存,以允许用户在不需要认证的情况下再次运行sudo一段时间。 sudoers 安全策略的缓存凭证5分钟,除非在sudoers(5)中覆盖。通过使用-v选项运行sudo,用户无需更新缓存的凭据
运行一个命令。当作为sudoedit被调用时,隐含-e选项。安全策略可能会记录成功和失败的尝试使用sudo。如果配置了I / O插件,则记录运行命令的输入和输出。
案例:
sudo -u jim -g audio vi ~jim/sound.txt
2.4、总结
命令 |
root到用户 |
用户到root |
任何用户间 |
身份验证 |
系统支持 |
日志 |
解释 |
---|---|---|---|---|---|---|---|
runuser |
Y |
N |
N |
不需要 |
Linux:是 Solaris:不 MacOS:是 |
N/A |
不用身份验证,效率较高 |
su |
Y |
Y |
Y |
目标用户的密码 |
Linux:是 Solaris:是 MacOS:是 |
/var/log/auth.log 或 /var/log/secure |
必须提供用户密码 |
sudo |
Y |
Y |
Y |
用户需要验证本人身份 |
Linux:是 Solaris:不 MacOS:是 |
/var/log/auth.log 或 /var/log/secure |
用户必须是wheel组的成员,可以执行管理员的工作 |
3、python脚本的方法
在实际工作中,越来越多需要用python来自动化任务、集成不同的部件、处理数据。很多时候会碰到同样问题:如何在python脚本中调用不同用户来运行程序。
- 定义一个函数来设置正在运行的进程的gid和uid。
- 将此函数作为preexec_fn参数传递给subprocess.Popen
subprocess.Popen将使用fork / exec模型来使用preexec_fn。这等同于按顺序调用
- os.fork(),
- preexec_fn()(在子进程中),
- os.exec()(在子进程中)
必须注意,由于os.setuid,os.setgid和preexec_fn仅在Unix上受支持,因此此解决方案仅支持unix及相关系统。
import os, pwd, subprocess, sys # set gid and uid
def demote(user_uid, user_gid):
def result():
os.setgid(user_gid)
os.setuid(user_uid)
return result # run a command under a new user
def run_command(cmd, user_name, cwd):
pw_record = pwd.getpwnam(user_name)
user_name = pw_record.pw_name
user_uid = pw_record.pw_uid
user_gid = pw_record.pw_gid # get env variable
env = os.environ.copy()
env[ 'HOME' ] = pw_record.pw_dir
env[ 'LOGNAME' ] = user_name
env[ 'PWD' ] = cwd
env[ 'USER' ] = user_name
proc = subprocess.Popen(cmd,
preexec_fn=demote(user_uid, user_gid),
cwd=cwd, env=env )
return proc.communicate()