5

我编写的 Python 扩展需要 root 访问权限才能执行单个硬件初始化调用。我宁愿不为我的扩展程序中的这个调用以 root 身份运行整个脚本,所以我想编写一个包装器来执行此初始化,然后再降低到用户权限并运行实际脚本。

我打算通过运行这个包装器sudo,例如

$ sudo devwrap python somescript.py

我正在考虑类似(更新以修复几个错误):

int main(int argc, char * argv[])
{
  if(argc < 2) return 0;

  int res = do_hardware_init();
  if(res != OK_VALUE)
  {
    // Print error message
    return HW_ERR;
  }

  const char *sudo_uid = getenv("SUDO_UID");
  if(sudo_uid)
  {
      int real_uid = (int) strtol(sudo_uid, NULL, 0);
      setuid(real_uid);
  }

  return execvp(argv[1], &argv[1]); // No return if successful

}

所以我有三个问题:

  1. 这看起来很正常吗?我通常不需要弄乱 *uid() 调用,所以我不熟悉常见的陷阱。这个execvp电话看起来也有点奇怪,但据我所知,它在正确的地方有参数)。
  2. execvp手册页说“应用程序不应直接访问环境数组” - 这是否使getenv调用成为一个坏主意?
  3. 有没有比 更好的电话execvp,所以我可以做sudo devwrap somescript.py(注意没有“python”)
4

1 回答 1

1
  1. 有点理智……下面有更多内容。
  2. 使用getenv()不是environ直接访问数组 - 这是干净的。直接访问environ数组意味着'strcpy(buffer,environ [3])'或类似的东西。
  3. 如果脚本以 shebang ( #!/usr/bin/env python,也许) 开头,你可以做你想做的事——somescript.py当然,必须是可执行的。

我在第一部分看到的问题取决于您如何处理硬件初始化中的错误。如果省略的错误处理没有退出,那么当你没有通过“sudo”运行时,你可能会得到一个核心转储(或段错误),因为你strtol()在一个空指针上运行。如果do_hardware_init()它本身在失败时退出,那没有问题,除非用户找到一种方法来从“sudo”中颠覆环境。我真的认为如果 SUDO_UID 的设置不合理,你应该验证环境并退出错误。root 想运行这个扩展吗?

我没有查看 的规范,sudo看它确实设置了 SUDO_UID 环境变量 - 我假设你是正确的。

用户输入此内容的后果是什么?

sudo devwrap ls

它进行硬件初始化,重置 UID,然后运行ls​​- 可能不会太有害,但可能不是您的想法。这有关系吗?你能完全控制它吗?

如果参数计数小于 2,您可能应该给出错误退出,而不是成功退出。

要求人们通过 'sudo' 运行扩展是非常规的。

您确定没有其他方法可以实现它吗?初始化有什么要求?是对所有进程执行一次,还是每个进程执行一次(因此链接至关重要)?

您可以简单地使 devwrap 程序 SUID 成为根吗?然后,您需要以不同的方式重置 UID:

setgid(getgid());
setuid(getuid());

这会在执行命令之前删除任何 SGID 和任何 SUID。很难造成重大伤害。如果程序在没有 SGID 的情况下安装,这个调用是否是强制性的还不清楚setgid(),但它也没有害处。

于 2010-11-18T07:44:17.627 回答