python - 在 python 中保护 child 与 parent 的通信

Question

我的 python 程序需要提升权限，因此由 root 启动(使用 setuid-binary-wrapper)。

为了尽可能减少攻击面(以及编码错误的影响)，我决定将我的代码分成两部分:一部分将作为 root 执行。另一个是regular user权限。问题是，代码是相互依赖的，因此需要 secure two-way communication .

我不知道这是否是正确的方法(欢迎其他想法)，但我决定使用 two processes - 一个具有提升权限的父进程和一个具有普通用户权限的子进程。

想法:

• 父进程由root启动并保留其特权
• 父进程产生一个子进程，该子进程下降到普通用户(子进程无法重新获得 root 权限)
• 子进程完成大部分工作，但如果它需要以 root 权限执行某些操作，它会告诉父进程为它做这件事

问题:

• 是subprocess (.Popen) 够了吗？会 multiprocessing更适合？

• 子进程和父进程如何以交互和安全的方式进行通信(subprocess.PIPE 安全吗)？

• 您是否知道此场景某处的任何简单代码示例？

-------------------------------------------- --------------------------

根据 Gil Hamilton 的建议，我想出了以下代码

还有一些问题:

• 这安全吗？我是否需要删除文件描述符之类的其他内容，或者是 os.setuid(<unprivileged UID>)够了吗？
• 一般来说，如果一个进程像这样掉落到特定用户，这个用户是否能够干扰掉落进程的内存？

privileged.py :

#!/bin/python
from multiprocessing import Process, Pipe
from unprivileged import Unprivileged

if __name__ == '__main__':
  privilegedProcessPipeEnd, unprivilegedProcessPipeEnd = Pipe()
  unprivilegedProcess = Process(target=Unprivileged(unprivilegedProcessPipeEnd).operate)
  unprivilegedProcess.start()

  print(privilegedProcessPipeEnd.recv())
  privilegedProcessPipeEnd.send("ok")
  print(privilegedProcessPipeEnd.recv())
  privilegedProcessPipeEnd.send("nok")

  privilegedProcessPipeEnd.close()
  unprivilegedProcessPipeEnd.close()
  unprivilegedProcess.join()

unprivileged.py :

import os

class Unprivileged:

  def __init__(self, unprivilegedProcessPipeEnd):
    self._unprivilegedProcessPipeEnd = unprivilegedProcessPipeEnd

  def operate(self):
    invokerUid = os.getuid()

    if invokerUid == 0:
      # started by root; TODO: drop to predefined standard user
      # os.setuid(standardUid)
      pass
    else:
      # started by a regular user through a setuid-binary 
      os.setuid(invokerUid) # TODO: drop to predefined standard user (save invokerUid for future stuff)

    # os.setuid(0) # not permitted anymore, cannot become root again

    print("os.getuid(): " + str(os.getuid()))

    self._unprivilegedProcessPipeEnd.send("invoke privilegedFunction1")
    print(self._unprivilegedProcessPipeEnd.recv())
    self._unprivilegedProcessPipeEnd.send("invoke privilegedFunction2")
    print(self._unprivilegedProcessPipeEnd.recv())

    return

main.c (setuid 包装程序):

#include <unistd.h>
#define SCRIPT_PATH "/home/u1/project/src/privileged.py"

int
main(int argc,
     char **argv) {
  return execv(SCRIPT_PATH, argv);
}

/* compile and run like this:
$ gcc -std=c99 main.c -o main
# chown root:root main
# chmod 6771 main
$ chmod +x /home/u1/project/src/privileged.py
$ ./main
*/

Answer 1

这可以通过 Popen 完成，但在我看来这有点笨拙，因为您无法通过 Popen 控制进程转换。如果您依赖 UID 来削弱权限，则需要先fork，然后在子代码中调整您的 UID，然后再调用其他子代码。

(没有真正的理由你不能把你的子代码放在一个单独的程序中，你用 Popen 调用并让它调整它的 UID 作为第一步，这在我看来是一种奇怪的方式构造它。)

我建议您看看使用 multiprocessing 模块。该模块使创建新进程变得容易(它将为您处理 fork )。然后您可以轻松地放入调整 UID 的代码(见下文)，然后您可以在相同的“代码库”中运行子代码。也就是说，您不一定需要调用单独的程序。

multiprocessing 模块还提供了它自己的Pipe 对象以及Queue 对象，它们都是进程间通信机制。两者都是安全的——从某种意义上说，没有任何外部用户可以侵入它们(没有 root 权限)。但是当然，如​​果您的非特权子进程受到威胁，它可以将任何它想要的发送给父进程，因此您的特权父进程仍然需要验证/审核其输入。

multiprocessing 模块的文档提供了几个应该可以帮助您入门的简单示例。创建后，使用管道就像读写文件一样简单。

至于调整 UID，这只是在调用您希望作为非特权用户运行的代码之前，在子项中对 os.setuid 进行一次简单的调用。阅读 setuid(2) 和 credentials(7) 手册页了解更多信息。