如何在unix系统中用别的用户运行一个程序？

1、问题的缘由

实际开发系统的时候，经常需要用别的用户运行一个程序。比如，有些系统为保证系统安全，不允许使用root来运行。这里，我们总结了unix系统下如何解决这个问题的一些方法。同时，我们还讨论如何在python脚本里实现。

2、unix系统的方法

2.1、runuser

runuser允许使用替代用户和组ID来运行命令。如果选项-u没有给出，则回退到su兼容的语义和shell被执行。

runuser和su命令之间的区别在于runuser不要求输入密码（因为它可能仅由root用户执行），它使用不同的PAM配置。命令runuser不必与suid权限一起安装。
当没有参数调用时，runuser默认以root用户身份运行交互式shell。
为了向后兼容，runuser默认不更改当前目录并仅设置环境变量HOME和SHELL（加上USER和LOG- 如果目标用户不是root用户，则为NAME）。此版本的runuser使用PAM进行会话管理

用法：

runuser [options] -u <USER> COMMAND
runuser [options] [-] [USER [arg]...]

案例：

runuser -l elastic -c "ls /var/opt/elastic"

如果当前用户不是root：

runuser: may not be used by non-root users

2.2、su

su允许使用替代用户和组ID来运行命令。

当没有参数的情况下调用su时默认以root身份运行交互式shell。
为了向后兼容，su默认不更改当前目录并仅设置环境变量HOME和SHELL（如果目标用户不是root的话，加上USER和LOGNAME）。
建议始终使用--login选项（而不是快捷方式－），以避免混合环境导致的副作用，
su使用PAM进行认证，帐户和会话管理。在其他su实现中有一些配置选项，例如必须通过PAM配置wheel组的支持。

案例：

$ su -l elastic
Password:＊＊＊＊＊

$ whoami
elastic

2.3、sudo

sudo允许允许的用户按照安全策略的规定，以超级用户或其他用户的身份执行命令。

sudo支持安全策略和输入/输出日志记录的插件体系结构。第三方可以开发和分发自己的策略和I / O日志插件与sudo前端无缝协作。
默认安全策略是sudoers，通过/ etc / sudoers文件或通过LDAP配置。看PLUGINS部分获取更多信息。
安全策略确定用户必须运行sudo的权限（如果有的话）。该政策可能要求用户使用密码或另一种认证机制验证自己身份。如果需要验证，如果用户的密码未在可配置的时间限制内输入，则sudo将退出。sudoers安全策略的默认密码提示超时为5分钟。安全策略可以支持凭证缓存，以允许用户在不需要认证的情况下再次运行sudo一段时间。 sudoers 安全策略的缓存凭证5分钟，除非在sudoers（5）中覆盖。通过使用-v选项运行sudo，用户无需更新缓存的凭据
运行一个命令。当作为sudoedit被调用时，隐含-e选项。安全策略可能会记录成功和失败的尝试使用sudo。如果配置了I / O插件，则记录运行命令的输入和输出。

案例：

sudo -u jim -g audio vi ~jim/sound.txt

2.4、总结

命令	root到用户	用户到root	任何用户间	身份验证	系统支持	日志	解释
runuser	Y	N	N	不需要	Linux：是 Solaris：不 MacOS：是	N/A	不用身份验证，效率较高
su	Y	Y	Y	目标用户的密码	Linux：是 Solaris：是 MacOS：是	/var/log/auth.log 或 /var/log/secure	必须提供用户密码
sudo	Y	Y	Y	用户需要验证本人身份	Linux：是 Solaris：不 MacOS：是	/var/log/auth.log 或 /var/log/secure	用户必须是wheel组的成员，可以执行管理员的工作

命令

root到用户

用户到root

任何用户间

身份验证

系统支持

日志

解释

runuser

不需要

Linux：是

Solaris：不

MacOS：是

N/A

不用身份验证，效率较高

目标用户的密码

Linux：是

Solaris：是

MacOS：是

/var/log/auth.log

或

/var/log/secure

必须提供用户密码

sudo

用户需要验证本人身份

Linux：是

Solaris：不

MacOS：是

/var/log/auth.log

或

/var/log/secure

用户必须是wheel组的成员，可以执行管理员的工作

3、python脚本的方法

在实际工作中，越来越多需要用python来自动化任务、集成不同的部件、处理数据。很多时候会碰到同样问题：如何在python脚本中调用不同用户来运行程序。

定义一个函数来设置正在运行的进程的gid和uid。
将此函数作为preexec_fn参数传递给subprocess.Popen

subprocess.Popen将使用fork / exec模型来使用preexec_fn。这等同于按顺序调用

os.fork（），
preexec_fn（）（在子进程中），
os.exec（）（在子进程中）

必须注意，由于os.setuid，os.setgid和preexec_fn仅在Unix上受支持，因此此解决方案仅支持unix及相关系统。

import os, pwd, subprocess, sys

# set gid and uid

def demote(user_uid, user_gid):

    def result():

        os.setgid(user_gid)

        os.setuid(user_uid)

    return result

# run a command under a new user

def run_command(cmd, user_name, cwd):

    pw_record = pwd.getpwnam(user_name)

    user_name      = pw_record.pw_name

    user_uid       = pw_record.pw_uid

    user_gid       = pw_record.pw_gid

    # get env variable

    env = os.environ.copy()

    env[ 'HOME'     ]  = pw_record.pw_dir

    env[ 'LOGNAME'  ]  = user_name

    env[ 'PWD'      ]  = cwd

    env[ 'USER'     ]  = user_name

    proc = subprocess.Popen(cmd,

                          preexec_fn=demote(user_uid, user_gid),

                          cwd=cwd, env=env )

    return proc.communicate()