在python中保护孩子与父母的通信

Question

我的 python 程序需要提升权限，因此由 root 启动（使用 setuid-binary-wrapper）。

为了尽可能减少攻击面（以及编码错误的影响），我决定将代码分成两部分：一部分以root身份执行，另一部分以regular user权限执行。 问题是，代码是相互依赖的，因此需要secure two-way communication 。

我不知道这是否是正确的方法（欢迎其他想法），但我决定使用two processes -一个具有提升权限的父进程和一个具有普通用户权限的子进程。

想法：

• 父进程由root启动并保持其特权
• 父进程产生一个子进程，该子进程落入普通用户（子进程无法重新获得 root 权限）
• 子进程完成大部分工作，但如果它需要以 root 权限执行某些操作，它会告诉父进程为它执行此操作

问题：

• subprocess进程 (.Popen) 是否足够？ multiprocessing会更适合吗？

• 子进程和父进程如何以交互和安全的方式进行通信（ subprocess.PIPE是否安全）？

• 你知道这个场景的某个地方有什么简单的代码示例吗？

-------------------------------------------------- -----------------------

根据吉尔汉密尔顿的建议，我想出了以下代码

一些问题仍然存在：

• 这安全吗？ 我是否需要删除文件描述符之类的其他内容，或者os.setuid(<unprivileged UID>)足够？
• 一般来说，如果一个进程像这样掉线给一个特定的用户，这个用户是否能够干扰被丢弃的进程内存？

privileged.py ：

#!/bin/python
from multiprocessing import Process, Pipe
from unprivileged import Unprivileged

if __name__ == '__main__':
  privilegedProcessPipeEnd, unprivilegedProcessPipeEnd = Pipe()
  unprivilegedProcess = Process(target=Unprivileged(unprivilegedProcessPipeEnd).operate)
  unprivilegedProcess.start()

  print(privilegedProcessPipeEnd.recv())
  privilegedProcessPipeEnd.send("ok")
  print(privilegedProcessPipeEnd.recv())
  privilegedProcessPipeEnd.send("nok")

  privilegedProcessPipeEnd.close()
  unprivilegedProcessPipeEnd.close()
  unprivilegedProcess.join()

unprivileged.py ：

import os

class Unprivileged:

  def __init__(self, unprivilegedProcessPipeEnd):
    self._unprivilegedProcessPipeEnd = unprivilegedProcessPipeEnd

  def operate(self):
    invokerUid = os.getuid()

    if invokerUid == 0:
      # started by root; TODO: drop to predefined standard user
      # os.setuid(standardUid)
      pass
    else:
      # started by a regular user through a setuid-binary 
      os.setuid(invokerUid) # TODO: drop to predefined standard user (save invokerUid for future stuff)

    # os.setuid(0) # not permitted anymore, cannot become root again

    print("os.getuid(): " + str(os.getuid()))

    self._unprivilegedProcessPipeEnd.send("invoke privilegedFunction1")
    print(self._unprivilegedProcessPipeEnd.recv())
    self._unprivilegedProcessPipeEnd.send("invoke privilegedFunction2")
    print(self._unprivilegedProcessPipeEnd.recv())

    return

main.c （setuid-wrapper 程序）：

#include <unistd.h>
#define SCRIPT_PATH "/home/u1/project/src/privileged.py"

int
main(int argc,
     char **argv) {
  return execv(SCRIPT_PATH, argv);
}

/* compile and run like this:
$ gcc -std=c99 main.c -o main
# chown root:root main
# chmod 6771 main
$ chmod +x /home/u1/project/src/privileged.py
$ ./main
*/

Answer 1

这可以通过Popen完成，但 IMO 有点笨拙，因为您无法控制Popen的流程转换。 如果您依赖 UID 来削弱特权，则需要在调用其他子代码之前先在子代码中fork ，然后调整您的 UID。

（没有真正的理由你不能把你的子代码放在一个单独的程序中，你用Popen调用并让它作为第一步调整它的 UID，在我看来这是一种奇怪的结构方式。）

我建议您考虑使用multiprocessing模块。 该模块使创建新进程变得容易（它将为您处理分叉）。 然后，您可以轻松放入调整 UID 的代码（见下文），然后您可以在同一“代码库”中运行子代码。 也就是说，您不一定需要调用单独的程序。

multiprocessing模块还提供了自己的Pipe对象和Queue对象，两者都是进程间通信机制。 两者都是安全的——从某种意义上说，没有外部用户可以对它们进行攻击（没有 root 权限）。 但是当然，如​​果您的非特权子进程受到损害，它可以向父进程发送它想要的任何内容，因此您的特权父进程仍然需要验证/审核其输入。

multiprocessing模块的文档提供了几个可以帮助您入门的简单示例。 一旦创建，使用管道就像读写文件一样简单。

至于调整 UID，在调用您想要作为非特权用户运行的代码之前， os.setuid在子os.setuid中调用os.setuid即可。 阅读setuid(2)和credentials(7)手册页了解更多信息。