跳到主要內容

如何使用root以外的使用者去執行service?

Problem

如果一個擁有root權限的App被攻破了,駭客就能為所欲為,對系統造成的危害肯定不小。所以怎麼樣的應用程式,就應該給予對應的存取權限,而不能因為方便直接給予最大權限。接下來就看看我Study結果吧!

(本篇文章主要不是在教大家如何讓process變為service,而是著重於用怎樣的使用者去執行service的process)

How to?

新增帳號與群組 | 修改目錄擁有者 | 移除帳號

如果沒有特殊需求,只需要透過以下指令就可以完成:

# 新增群組
groupadd -r TonyApp
# 新增系統使用者
useradd -r -d /opt/TonyApp -s /bin/bash -g TonyApp TonyApp
# 將使用者設為daemon
gpasswd -a TonyApp daemon

設定App目錄擁有者,原本如果是root,App可能會完全無法動:

chown -R TonyApp:TonyApp /opt/TonyApp

強制移除root權限帳號:

userdel -r -f TonyApp

更多權限的帳號

由於我的App會存取到硬體相關指令或裝置,如fdisk、/dev/mem,因此我必須給與對應的權限。我可以直接透過以下指令確認是否能執行:

# 轉換使用者
su TonyApp
# 測試指令
dmidecode
fdisk /dev/sda

在賦與權限前,必然是不可行的。因此有以下幾個做法:

設定權限到system group

可以從/etc/group中得知有哪些對應的群組,也可以看這篇文章。如果要給予存取disk權限可以使用:

gpasswd -a TonyApp disk

直接指定root並不代表它真的擁有存取所有東西的權限,最好也是根據你要什麼就設定什麼。測試到目前,就屬/dev/mem沒轍,因此才有其它的試驗。

指定uid為0

useradd -r -d /opt/TonyApp -s /bin/bash -ou 0 -g root TonyApp

如果使用ps aux去查service的process,會發現執行者是root。

setuid

如修改密碼的passwd一般,認何人都可以透過root權限去執行它。可以透過以下方是去做設定:

chown 0:0 myprocess
chmod +s myprocess

然而,如果將這個方法設定到java程式上,可能就會遇到找不到libjli.so的問題。可以參考此篇去設定ld config,就能解決問題。這方法與指定uid為0一樣,都是以root去執行process。

將帳號加到sudo中

只要編輯/etc/sudoers,將使用者如下方方式加進去,就能透過sudo指令去執行你想要的東西:

TonyApp    ALL=(ALL)       ALL

如果要略過輸入密碼,可以這樣設定:

TonyApp    ALL=(ALL) NOPASSWD: ALL

NOPASSWD後面最好可以根據你要執行的指令設定,以減少安全上的問題,如:

TonyApp   ALL=(ALL) NOPASSWD: /usr/sbin/dmidecode

Summary

我個人是比較偏好將帳號設定對應的System Group,但由於我們軟體要存取mem的關係,這方法無法滿足我需求。指定uid為0與setuid的方式,其實都是以root去啟動process了,似乎也失去了初衷。因此,本次Study就純粹當學習,之後有時間再看看有沒有其它方法。

Reference

標籤:

留言

張貼留言

這個網誌中的熱門文章

解決RobotFramework從3.1.2升級到3.2.2之後,Choose File突然會整個Hand住的問題

考慮到自動測試環境的維護,我們很久以前就使用java去執行robot framework。前陣子開始處理從3.1.2升級到3.2.2的事情,主要先把明確的runtime語法錯誤與deprecate item處理好,這部分內容可以參考: link 。 直到最近才發現,透過SeleniumLibrary執行Choose File去上傳檔案的動作,會導致測試案例timeout。本篇文章主要分享心路歷程與解決方法,我也送了一條issue給robot framework: link 。 我的環境如下: RobotFramework: 3.2.2 Selenium: 3.141.0 SeleniumLibrary: 3.3.1 Remote Selenium Version: selenium-server-standalone-3.141.59 首先並非所有Choose File的動作都會hang住,有些測試案例是可以執行的,但是上傳一個作業系統ISO檔案一定會發生問題。後來我透過wireshark去比對新舊版本的上傳動作,因為我使用 Remote Selenium ,所以Selenium會先把檔案透過REST API發送到Remote Selenium Server上。從下圖我們可以發現,在3.2.2的最後一個TCP封包,比3.1.2大概少了500個bytes。 於是就開始了我trace code之路。包含SeleniumLibrary產生要送給Remote Selenium Server的request內容,還有HTTP Content-Length的計算,我都確認過沒有問題。 最後發現問題是出在socket API的使用上,就是下圖的這支code: 最後發現可能因為開始使用nio的方式送資料,但沒處理到尚未送完的資料內容,而導致發生問題。加一個loop去做計算就可以解決了。 最後我有把解法提供給robot framework官方,在他們出新的版本之前,我是將改完的_socket.py放在我們自己的Lib底下,好讓我們測試可以正常進行。(shutil.py應該也是為了解某個bug而產生的樣子..)
張貼留言
閱讀完整內容

Show NIC selection when setting the network command with the device option

 Problem  在answer file中設定網卡名稱後,安裝時會停在以下畫面: 所使用的command參數如下: network --onboot = yes --bootproto =dhcp --ipv6 =auto --device =eth1 Diagnostic Result 這樣的參數,以前試驗過是可以安裝完成的。因此在發生這個問題後,我檢查了它的debug console: 從console得知,eth1可能是沒有連接網路線或者是網路太慢而導致的問題。後來和Ivy再三確認,有問題的是有接網路線的網卡,且問題是發生在activate階段: Solution 我想既然有retry應該就有次數或者timeout限制,因此發現在Anaconda的說明文件中( link ),有提到dhcptimeout這個boot參數。看了一些人的使用範例,應該是可以直接串在isolinux.cfg中,如下: default linux ksdevice = link ip =dhcp ks =cdrom: / ks.cfg dhcptimeout = 90 然而我在RHEL/CentOS 6.7與6.8試驗後都無效。 因此我就拿了顯示的錯誤字串,問問Google大師,想找一下Anaconda source code來看一下。最後找到別人根據Anaconda code修改的版本: link ,關鍵在於setupIfaceStruct函式中的setupIfaceStruct與readNetConfig: setupIfaceStruct: 會在dhcp時設定dhcptimeout。 readNetConfig: 在writeEnabledNetInfo將timeout寫入dhclient config中;在wait_for_iface_activation內會根據timeout做retry。 再來從log與code可以得知,它讀取的檔案是answer file而不是boot command line。因此我接下來的測試,就是在answer file的network command上加入dhcptimeout: network --onboot = yes --bootproto =dhcp --ipv6 =auto --device =eth1 --...
張貼留言
閱讀完整內容

Robot Framework - Evaluate該怎麼用?

Evaluate該怎麼用? 前言 Builtin的RobotFramework Library提供了Evaluate Keyword。它所提供的功能是「執行Python描述句」。但實際上到底有什麼用途呢?原本我僅僅拿來將string轉為int的功用,經過一些查詢與試驗,我將心得整理給大家。 Builtin Builtin的function可以參考Library Doc for Evaluate。我以有使用過的function做說明。 數字轉換 Python提供了int、long、float與complex等function讓你可以將字串轉為數字,也可以透過它們做四則運算。首先以字串轉數字為例,我將8設於${num_str}中,再透過Evaluate+int轉為數字。這裡必須注意的是: 「int()中放變數必須以單引號'括起」。否則,假如你設定的數字為08,在轉換int時會出現Syntax Error。 ${num_str} | Set Variable | 8 ${num} | Evaluate | int('${num_str}') 其中int與long的第二個參數為base,這是根據你的input所決定: Comment | num = 9 ${num} | Evaluate | int('11', 8) Comment | num = 11 ${num} | Evaluate | int('11', 10) Comment | num = 17 ${num} | Evaluate | int('11', 16) 其它還有像bin、oct、hex,可以將整數轉為2、8、16進位。 運算 四則運算: 直接將運算子加上即可: ${num} | Evaluate | int('${hour}')*60 + int('${min}') 指數: 可以用pow。以下面兩個例子來說,第一個是2的3次方為8,第二個是2的3次方再mod 7為1。需注意的是: 「傳入值必須是數字不可為字串」。 ${num} | Evaluate | pow(2,3) ${num} | Evaluate | pow(2,3,7) 取最大最小值: 使用max/min,可以選擇丟一個array的方式...
張貼留言
閱讀完整內容