代码示例支持
平台: Centos 6.3
Python: 2.7.14
代码示例: 菜单 - Python踩坑指南代码示例

1.1 踩坑案例

小明是个服务器管理员, 他从老管理员手里接手了一个非常繁琐的运维工作: 短暂授权root 账号给不同的 team 接口人运行备份任务

该运维任务有几个特点:

  1. 任务需且仅需运行在 root 下

    • root 账号只能短暂授权给各个小组
    • 通过账号管理平台, 提前申请一段时间的临时密码
    • 将临时密码提供给小组接口人
    • 时间超时后密码自动变更
  2. 不同 team 分时使用, 无法并发使用

小明非常烦躁, 为了填上这个坑, 他调研了填坑解法.

1.2 填坑解法

填坑解法满足:

  • 短时出借权限

    • (在权限范围内)执行该任务时才能使用 root 权限
    • 做完任务立即失去 root 权限
  • 权限范围必须清晰
    • 能做什么

      • 能做数据备份
    • 不能做什么
      • 除了数据备份其他什么都不在 root 权限下做

具体做法:

  1. 利用c/c++程序出借部分 root 权限 (完整代码关注公号点击菜单查看)

    • 该c程序限定执行的备份操作为 python 代码 euid_backup.py
    int main(int argc, char **argv){
    
    if(0==isRunUnderRoot()){
    
        fprintf(stderr,"does not run under +S attribute. Exiting....\n");
    
        return EXIT_FAILURE;
    
    }
    
    exit(runNewProcess("./", "env python ./euid_backup.py"));
    
}
    • euid_backup.py owner 为 root, 非 root 用户不准更改备份操作内容

  2. 为生成的执行文件euid_cp及euid_backup.py 设置root权限借用

    sudo rm -f ./euid_cp
    
sudo gcc euid_cp.c -o euid_cp
    
# 设置文件owner为root, 非root用户无法更改执行内容
    
sudo chown root euid_cp euid_backup.py
    
# 设置a. 非root只读  b. 增加执行权限
    
sudo chmod 755 euid_cp
    
# 设置stick bit, 执行euid_cp即可短暂获取root 权限, 执行任务
    
sudo chmod +s euid_cp

  • euid_backup.py Python 代码执行具体的备份任务

    from __future__ import print_function
    
import os
    
import time

print('euid is {0}'.format(os.geteuid()))

if os.geteuid() == 0:
    
    print('start to copy under root')
    
    print('do some operations here')
    
    time.sleep(2)
    
    print('end copying things')
    
    print('drop privileges from root')
    
else:
    
    print('non-root, euid {0} will exit'.format(os.geteuid()))

运行试验:

  1. 通过 ./euid_cp 执行, 可以在非 root 下执行 root 权限才能执行的备份任务(euid_backup.py)

    • 执行环境: Mac 10.14.4 (18E226)

  2. 直接执行备份任务(euid_backup.py) 会失败, 没有权限

    • 执行环境: 同上

1.3 坑位分析

  1. uid / euid / suid 是什么

    • uid 是用户的 userid

      • 登陆后, 在不切换用户情况下 uid 一般不变
    • euid 是用户的有效 id
      • euid 在正常执行情况下一般等于uid
      • euid 一般决定了用户对系统中存储介质的access (访问) 权限
    • suid (saved uid) 是文件在被访问过程中的短暂切换用户euid的属性设置
      • 简单来说, suid让本没有权限的用户可以短暂访问这些资源
      • suid 在执行过程中进行了权限切换
        • 执行之初, 切换到这个saved uid(文中为 root)
        • fork执行过程中, euid == suid
        • 执行完成后, euid 在切换回 uid

  2. gid, egid 等同理, [*]uid的判断优先

1.4 技术关键字

  • uid euid suid
  • gid egid sgid

1.5 坑后思考

  1. 为什么本文没有直接对euid_backup.py文件进行设置+s操作, 而是用可执行的c/c++程序做执行器

  2. Linux 系统里的passwd 程序是否也是这个原理? 它跟哪些文件/命令相关

下期坑位预告

进程篇其五之眼花缭乱的进程间通信

Life is short. We use Python.

Python 踩坑之旅进程篇其四一次性踩透 uid euid suid gid egid sgid的坑坑洼洼的更多相关文章

  1. [代码修订版] Python 踩坑之旅 [进程篇其四] 踩透 uid euid suid gid egid sgid的坑坑洼洼

    目录 1.1 踩坑案例 1.2 填坑解法 1.3 坑位分析 1.4 技术关键字 1.5 坑后思考 下期坑位预告 代码示例支持 平台: Centos 6.3 Python: 2.7.14 代码示例: 公 ...

  2. Python 踩坑之旅进程篇其三pgid是个什么鬼 (子进程\子孙进程无法kill 退出的解法)

    目录 1.1 踩坑案例 1.2 填坑解法 1.3 坑位分析 1.4.1 技术关键字 下期坑位预告 代码示例支持 平台: Centos 6.3 Python: 2.7.14 Github: https: ...

  3. [代码修订版] Python 踩坑之旅进程篇其五打不开的文件

    目录 1.1 踩坑案例 1.2 填坑和分析 1.2.1 从程序优化入手 1.2.2 从资源软硬限入手 1.4.1 技术关键字 下期坑位预告 代码示例支持 平台: Centos 6.3 Python: ...

  4. Python 踩坑之旅文件系统篇其一文件夹也是个文件

    目录 1.1 案例 1.2 分析 1.3 扩展 1.4 技术关键字 下期预告 代码示例支持 平台: Mac OS Python: 2.7.10 代码示例: - wx: 菜单 - Python踩坑指南代 ...

  5. 美团热修复Robust的踩坑之旅-使用篇

    最近需要在项目中使用热修复框架,在这里以美团的Robust为主写一篇文章总结一下学习的过程. 一直认为要学习一个框架的原理,首先需要让他跑起来,从效果反推回去,这样更容易理解. 一.美团Robust的 ...

  6. Python踩坑之旅其一杀不死的Shell子进程

    目录 1.1 踩坑案例 1.2 填坑解法 1.3 坑位分析 1.4 坑后扩展 1.4.1 扩展知识 1.4.1 技术关键字 1.5 填坑总结 1.1 踩坑案例 踩坑的程序是个常驻的Agent类管理进程 ...

  7. EasyTrader踩坑之旅总结

    ​ easytrader是用python写的可以调用主要券商完成自动化炒股的一个软件 ,但我用的是同花顺,在研究过程中,发现同花顺暂时调不通.后来搜索发现thstrade的源码作者说是easytrad ...

  8. vue+ vue-router + webpack 踩坑之旅

    说是踩坑之旅 其实是最近在思考一些问题 然后想实现方案的时候,就慢慢的查到这些方案   老司机可以忽略下面的内容了 1)起因  考虑到数据分离的问题  因为server是express搭的   自然少 ...

  9. 微信小程序之mpvue+iview踩坑之旅

    因为之前参照微信的原生的文档写过一些小程序的demo,写的过程比较繁琐,后来出了美团的mpvue,可以直接使用vue开发,其他的不作对比,这篇文章记录一下踩坑之旅. 参照mpvue http://mp ...

随机推荐

  1. 集训Day9

    又是不想学化学但元气满满的一天呢qwq 今天又有新的故事发生那就是! bzoj2150 最小流 每个点拆成$a_x$和$a_y$ $S$->$a_x$容量为1 $a_y$->$T$容量为1 ...

  2. poj3666序列对应——DP

    题目:http://poj.org/problem?id=3666 很普通的DP,离散化(sort)一下即可: mn的求法很不错(比我原来开了mn[]……简洁). 代码如下: #include< ...

  3. C++ 创建文件的方法

    CString getPath(){ CTime time = CTime::GetCurrentTime(); CString t = time.Format(_T("%Y%m%d%H%M ...

  4. navicat 关于orcale新建表空间,用户和权限分配

    图文教程,直观, 上面连接数据库 下面创建表空间 建表空间的设置 表空间名的设置 新建用户 填写用户名,选择默认表空间 成员属性德设置,这里因为是自己用,所以选择最大权限,其他的权限这是需要专业的了 ...

  5. xpath技术,用在dom4j中

    title: xPath语法应用 tags: xPath,dom4j grammar_cjkRuby: true --- 在dom4j中,会使用到xPath技术. 在项目中导入 jaxen-1.1-b ...

  6. 【VS工程设置】 编译动态库,命令行添加参数,不使用预编译头,指定该项目链接 哪种 运行库

    编译动态库 注意: 动态库: [目标文件扩展] => .dll + [配置类型] => 动态库(.dll) 静态库: [目标文件扩展] => .lib + [ 配置类型]=> ...

  7. Python 查看本机WiFi密码

    http://www.lijiejie.com/python-get-all-saved-wifi-passwords/ 很早以前我写过一个,丢了.  今天偶然看到这篇文章 , 也是很久以前写的,他用 ...

  8. linux查询内存真是利用率

    使用top工具查看到Suse Linux的内存占用率很大,可能97%以上,我知道这是Linux的内存使用机制,先将内存整个管理起来,需要的时候在分配给单个进程.但是如果我需要查看系统真实的内存占用率应 ...

  9. 面试题: 数据库笔试 sql操作 已看 上课的练习题50sql

    2018/5/31 oracle数据库面试笔试试题总结http://www.yjbys.com/qiuzhizhinan/show-308759.html 1/4Oracle数据库1.基础测试选择在部 ...

  10. php+redis实现高并发模拟下单、秒杀、抢购操作

    对于高并发下的场景,一般都是采用redis缓存机制来处理. 当然也不是只有redis可以处理.还有利用mysql事务操作锁住操作的行.文件锁. 不过这些方式都没有redis缓存高效.可靠. 模拟的过程 ...