go - Go[lang] 二进制文件上的 SetGID/SetUID 安全吗？

Question

我写了一个简单的 go使用 YAML 和 MySQL 驱动程序的程序旨在提供一个简单的实用程序来更新数据库，而不会将用户名和密码凭据暴露给执行该程序的用户。

(我很清楚我也可以用 Python 或其他一些脚本语言编写它并使用 sudo 管理权限委托(delegate)，但我想在这里尝试不同的方法，以供我自己借鉴)。

构建程序后，我使用了 chgrp sys dbcreds.yaml && chmod 0640 dbcreds.yaml 和 chgrp sys ./myprog && chmod g+s ./myprog (作为 root)......一切似乎都有效。 (我还测试了在 setGID 步骤之前访问被拒绝，因为它应该被拒绝)。

我还测试了 strace 并导致权限被拒绝(这是应该的)。 (为了好玩，我还在它上面运行了 ltrace -S；这是在 Linux 下。正如预期的那样，我没有看到很多正常的 libc 函数调用......我很惊讶地看到了一些 pthread_....() 和一个 malloc() 调用。我猜 GO 运行时毕竟确实链接到一些系统库函数)。

我的问题:这样安全吗？是否有任何已知的方法可以使 Go 程序(如下所示)在读取这些私有(private)凭证后进行核心转储或暴露其内存？有没有办法在我阅读我的凭据后删除我的 SGID 权限？在 Go 二进制文件上有任何 SUID/SGID 漏洞利用的例子吗？有一个更好的方法吗？有没有办法主动防止核心转储或确保敏感数据(凭据)不会出现在核心转储中？

另一个注意事项:我发现 gopkg.in/yaml.v2 语义有点令人不安。在我的 YAML 文件中，我有类似的内容:

---
user me
pw mypassword

但在我的代码中我必须使用 User 和 Pw(大写)而不是使用小写正如我所料。我认为这是 Goyaml 作者的实现决定。 .是这样吗？

#!go
package main

import (
    "fmt"
    "database/sql"
    _ "github.com/go-sql-driver/mysql"
    "gopkg.in/yaml.v2"
    "io/ioutil"
    "os"
    "strconv"
)

type Creds struct {
    User string
    Pw   string
}

func main() {

    filename := "./dbcreds.yaml"
    var creds Creds
    conf, err := ioutil.ReadFile(filename)
    if err != nil {
        panic(err)
    }
    err = yaml.Unmarshal(conf, &creds)
    if err != nil {
        panic(err)
    }

    var arg1 int
    arg1, err = strconv.Atoi(os.Args[1])
    if err != nil {
        panic(err.Error()) // Just for example purpose. You should use proper error handling instead of panic
    }

    fmt.Println("arg1: ", arg1, "\n")
    dsn := fmt.Sprintf("%s:%s@/mydatabase", creds.User, creds.Pw)
    db, err := sql.Open("mysql", dsn)
    if err != nil {
        panic(err.Error())
    }
    defer db.Close()

    err = db.Ping()
    if err != nil {
        panic(err.Error())
    }

    stmtOut, err := db.Prepare("SELECT quant FROM c WHERE id >= ?")
    if err != nil {
        panic(err.Error())
    }
    defer stmtOut.Close()

    rows, err := stmtOut.Query(arg1)
    if err != nil {
        panic(err.Error())
    }
    defer rows.Close()

    for rows.Next() {
        var quant int
        err = rows.Scan(&quant)
        if err != nil {
            panic(err.Error())
        }
        fmt.Println(quant)
    }
}

Answer 1

setuid/setgid Go 程序相当安全，但有一个主要警告。 Go setuid/setgid 程序通常不比 C/C++ setuid/setgid 程序更安全。

的确，您可以通过使用环境变量 GOTRACEBACK=crash 运行一个 Go 程序然后向它发送一个信号来强制转储核心。但是，这对您的目的来说是可以的，因为 Go 程序将(尝试)通过向自己发送 SIGABRT 信号来创建核心转储。内核不会为被信号杀死的 setuid/setgid 程序生成核心转储。

Go 的主要警告是在 GNU/Linux 系统上你不能退回到原来的用户 ID。这是因为 setuid(以及 setgid、setgroups、setreuid、setregid、setresuid 和 setresgid)是如何在 GNU/Linux 上为多线程程序实现的。详情在http://golang.org/issue/1435 .

最后，Uw 和 Pw 需要大写，因为标准反射包不允许写入未导出的字段。