0

我有一个网络服务器,它会经常产生一个乳胶解释器(用 python 编写)。该解释器位于使用 jailkit 制作的 chroot 监狱中,因此必须以 root 身份启动。

我不希望服务器以 root 身份运行,也无法设置 bash 脚本。我可以编写一个调用脚本的 setuid c 程序,但我很确定这会导致很大的安全漏洞。

到目前为止,我想出的最好的方法是以 root 身份运行一个单独的网络服务器,其唯一的工作是生成解释器进程。

这样做的正确方法是什么?

4

1 回答 1

0

你最好的办法是创建一个非常小的脚本,它简单地设置环境并调用乳胶解释器并使该脚本 SUID 根。

这是最好的,因为:

  • 以 root 身份花费的时间最少
  • 只需一个脚本是 SUID
  • 小脚本 == 做错事的机会更小
  • 以 root 身份使用 BASH 非常安全,而运行整个 Web 服务器则不然。
于 2011-04-29T10:16:16.897 回答