Создать процесс запуска, требующий как root, так и другого пользователя

Question

Существует довольно много вариантов в зависимости от того, что именно вы делаете как пользователь root. Однако для автоматизированных служб («типа apache») вы обычно начинаете как пользователь root и переходите к ограниченному пользователю.

Конфигурация в стиле Debian (включая Ubuntu и Mint) тогда будет иметь файл в /etc/default/мое-имя-службынастройка, на которую переключается пользователь. В других дистрибутивах Linux настройки хранятся в другом месте, но техника в конечном итоге та же.

Если вы пишете сервисную программу самостоятельно, вам следует использоватьsetuid(). После вызова setuid процесс не может вернуться к привилегиям root. Вам нужно будетпоиск пользователя по имениа такжеустановить группы для пользователя.

упрощаю код, который я написал давным-давно:

int lockToUser(const char * user) {
    # Look up the username in /etc/passwd
    struct passwd * pwd = getpwnam(user);
    if (!pwd) {
        # Failed... Could not find user, see errno
        return 0;
    }
    # setuid sets the user
    # setgid sets the main group similar to the group in /etc/passwd
    # Sets the other groups which will grant additional permissions.
    #   similar to the groups in /etc/groups
    if (initgroups(user, pwd->pw_gid) || setgid(pwd->pw_gid) || setuid(pwd->pw_uid)) {
        # Failed... Could not lock down to user, see errno
        return 0;
    }
    return 1;
}

Answer 1

Существует довольно много вариантов в зависимости от того, что именно вы делаете как пользователь root. Однако для автоматизированных служб («типа apache») вы обычно начинаете как пользователь root и переходите к ограниченному пользователю.

Конфигурация в стиле Debian (включая Ubuntu и Mint) тогда будет иметь файл в /etc/default/мое-имя-службынастройка, на которую переключается пользователь. В других дистрибутивах Linux настройки хранятся в другом месте, но техника в конечном итоге та же.

Если вы пишете сервисную программу самостоятельно, вам следует использоватьsetuid(). После вызова setuid процесс не может вернуться к привилегиям root. Вам нужно будетпоиск пользователя по имениа такжеустановить группы для пользователя.

упрощаю код, который я написал давным-давно:

int lockToUser(const char * user) {
    # Look up the username in /etc/passwd
    struct passwd * pwd = getpwnam(user);
    if (!pwd) {
        # Failed... Could not find user, see errno
        return 0;
    }
    # setuid sets the user
    # setgid sets the main group similar to the group in /etc/passwd
    # Sets the other groups which will grant additional permissions.
    #   similar to the groups in /etc/groups
    if (initgroups(user, pwd->pw_gid) || setgid(pwd->pw_gid) || setuid(pwd->pw_uid)) {
        # Failed... Could not lock down to user, see errno
        return 0;
    }
    return 1;
}

Создать процесс запуска, требующий как root, так и другого пользователя

решение1

Связанный контент