Question

У меня есть веб-сервер, который часто порождает латексный интерпретатор (написанный на python). Этот интерпретатор живет в изолированной тюрьме, созданной с использованием jailkit, поэтому его нужно запускать как root.

Я не хочу, чтобы сервер работал от имени пользователя root, и я не могу установить скрипт bash. Я мог бы написать программу setuid c, которая вызывает скрипт, но я уверен, что это приводит к большим дырам в безопасности.

Лучшее, что я до сих пор придумал, - это запуск отдельного веб-сервера в качестве пользователя root, единственной задачей которого является создание процессов интерпретатора.

Как правильно это сделать?

Aaron Digulla · Answer 1 · 29 апреля 2011

Лучше всего создать очень маленький скрипт, который просто устанавливает среду, вызывает латексный интерпретатор и делает этот скрипт SUID root.

Это лучше, потому что:

Наименьшее количество времени тратится от имени пользователя root
SUID необходим только один скрипт
Маленький скрипт == меньший шанс сделать что-то не так
BASH довольно безопасен дляИспользовать как root, при этом весь веб-сервер не работает.

Запуск джейлкита от некорневого процесса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Запуск джейлкита от некорневого процесса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы