我有一个以 www 用户身份运行的 Web 应用程序。然而,在某一时刻,它需要代表用户 Alice 和 Bob 从 Linux 文件系统中读取文件。
执行此操作的一种方法是启动 shell (Runtime.exec()) 并调用 C setuid 可执行文件来更改用户 ID 并读取文件。
有没有办法使用 JNI 来实现这一点(网络应用程序需要以 www 而不是 root 身份运行)?我尝试编写一个 Java JNI 程序,该程序在 Linux 上调用本机方法(我将这些本机方法设为 root 拥有并设置了 setuid 位)。但除非我以 root 身份运行 Java 程序,否则它不会让我切换用户 ID。有什么我想念的吗?有没有办法做到这一点?
谢谢!
不,那里没有。setuid并且setgid只能在两种情况下使用(在普通Linux上):
setuidorsetgid位的文件启动的。在前一种情况下,进程可能会随意调用这些函数来采用任何身份。在后一种情况下,进程只能在父进程的 uid/gid 和启动它的文件的 uid/gid 之间来回切换。
即如果是setuid,可以采用文件的uid,如果是setgid,则采用gid。
由于您在 java 中,因此执行程序是 java 本身,并且您不希望它是 setuid 或 setgid,除非您想创建巨大的安全风险。
您可以编写一个通过 JNI 调用接口启动 JVM 的 C 或 C++ 程序,并将该程序设置为 setuid 或 setgid,然后在其中调用的 JNI 代码可以进行适当的切换调用。
是的,有可能。你可以在这里看到一个例子:
https://github.com/kebernet/pretty/blob/master/src/main/java/com/reachcall/util/SetUID.java
下面是代码示例:
CLibrary INSTANCE = (CLibrary) Native.loadLibrary((Platform.isWindows() ? "msvcrt" : "c"), CLibrary.class);
public static int setuid(int uid) {
if (Platform.isWindows()) {
return OK;
}
return CLibrary.INSTANCE.setuid(uid);
}
bmargulies 的回答不正确(或不完全正确)。UNIX 中的非 root 进程可以设置 uid 或 gid,如果它具有相应的功能:
http://man7.org/linux/man-pages/man7/capabilities.7.html
CAP_SETUID
- 对进程 UID 进行任意操作(setuid(2)、setreuid(2)、setresuid(2)、setfsuid(2));
由于从操作系统的角度来看,您的程序作为“java”进程运行,因此必须为 java 可执行文件本身启用此 setguid 功能:
$ sudo setcap cap_setuid,cap_setgid+ep /usr/java/latest/bin/java
另请注意,java 可执行文件所在的文件系统未使用“ nosuid ”选项挂载。
回到你原来的问题
Web 应用程序需要以 www 而不是 root 身份运行
通常,让 Web 服务具有 setuid 功能并不是一个好主意。最好将 uid 放在启动 Web 应用程序的 shell 包装脚本中。