[英]Secure child to parent communication in python
我的 python 程序需要提升权限,因此由 root 启动(使用 setuid-binary-wrapper)。
为了尽可能减少攻击面(以及编码错误的影响),我决定将代码分成两部分:一部分以root
身份执行,另一部分以regular user
权限执行。 问题是,代码是相互依赖的,因此需要secure two-way communication
。
我不知道这是否是正确的方法(欢迎其他想法),但我决定使用two processes
-一个具有提升权限的父进程和一个具有普通用户权限的子进程。
想法:
问题:
subprocess
进程 (.Popen) 是否足够? multiprocessing
会更适合吗?
子进程和父进程如何以交互和安全的方式进行通信( subprocess.PIPE
是否安全)?
你知道这个场景的某个地方有什么简单的代码示例吗?
根据吉尔汉密尔顿的建议,我想出了以下代码
一些问题仍然存在:
os.setuid(<unprivileged UID>)
足够? privileged.py
:
#!/bin/python
from multiprocessing import Process, Pipe
from unprivileged import Unprivileged
if __name__ == '__main__':
privilegedProcessPipeEnd, unprivilegedProcessPipeEnd = Pipe()
unprivilegedProcess = Process(target=Unprivileged(unprivilegedProcessPipeEnd).operate)
unprivilegedProcess.start()
print(privilegedProcessPipeEnd.recv())
privilegedProcessPipeEnd.send("ok")
print(privilegedProcessPipeEnd.recv())
privilegedProcessPipeEnd.send("nok")
privilegedProcessPipeEnd.close()
unprivilegedProcessPipeEnd.close()
unprivilegedProcess.join()
unprivileged.py
:
import os
class Unprivileged:
def __init__(self, unprivilegedProcessPipeEnd):
self._unprivilegedProcessPipeEnd = unprivilegedProcessPipeEnd
def operate(self):
invokerUid = os.getuid()
if invokerUid == 0:
# started by root; TODO: drop to predefined standard user
# os.setuid(standardUid)
pass
else:
# started by a regular user through a setuid-binary
os.setuid(invokerUid) # TODO: drop to predefined standard user (save invokerUid for future stuff)
# os.setuid(0) # not permitted anymore, cannot become root again
print("os.getuid(): " + str(os.getuid()))
self._unprivilegedProcessPipeEnd.send("invoke privilegedFunction1")
print(self._unprivilegedProcessPipeEnd.recv())
self._unprivilegedProcessPipeEnd.send("invoke privilegedFunction2")
print(self._unprivilegedProcessPipeEnd.recv())
return
main.c
(setuid-wrapper 程序):
#include <unistd.h>
#define SCRIPT_PATH "/home/u1/project/src/privileged.py"
int
main(int argc,
char **argv) {
return execv(SCRIPT_PATH, argv);
}
/* compile and run like this:
$ gcc -std=c99 main.c -o main
# chown root:root main
# chmod 6771 main
$ chmod +x /home/u1/project/src/privileged.py
$ ./main
*/
这可以通过Popen
完成,但 IMO 有点笨拙,因为您无法控制Popen
的流程转换。 如果您依赖 UID 来削弱特权,则需要在调用其他子代码之前先在子代码中fork
,然后调整您的 UID。
(没有真正的理由你不能把你的子代码放在一个单独的程序中,你用Popen
调用并让它作为第一步调整它的 UID,在我看来这是一种奇怪的结构方式。)
我建议您考虑使用multiprocessing
模块。 该模块使创建新进程变得容易(它将为您处理分叉)。 然后,您可以轻松放入调整 UID 的代码(见下文),然后您可以在同一“代码库”中运行子代码。 也就是说,您不一定需要调用单独的程序。
multiprocessing
模块还提供了自己的Pipe
对象和Queue
对象,两者都是进程间通信机制。 两者都是安全的——从某种意义上说,没有外部用户可以对它们进行攻击(没有 root 权限)。 但是当然,如果您的非特权子进程受到损害,它可以向父进程发送它想要的任何内容,因此您的特权父进程仍然需要验证/审核其输入。
multiprocessing
模块的文档提供了几个可以帮助您入门的简单示例。 一旦创建,使用管道就像读写文件一样简单。
至于调整 UID,在调用您想要作为非特权用户运行的代码之前, os.setuid
在子os.setuid
中调用os.setuid
即可。 阅读setuid(2)
和credentials(7)
手册页了解更多信息。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.