Рекомендуется запускать службу Linux от имени другого пользователя

службы по умолчанию запускаются как root во время загрузки на моем поле RHEL. Если я правильно помню, то же самое верно и для других дистрибутивов Linux, которые используют сценарии инициализации в /etc/init.d.



как вы думаете, это лучший способ вместо того, чтобы процессы запускались как (статический) пользователь по моему выбору?



единственный метод, к которому я пришел, был использовать что-то вроде:



 su my_user -c 'daemon my_cmd &>/dev/null &'


но это кажется немного неопрятным...



есть ли немного магии спрятан это обеспечивает простой механизм для автоматического запуска служб в качестве других, некорневых пользователей?



EDIT: я должен был сказать, что процессы, которые я запускаю в этом случае, являются либо скриптами Python, либо программами Java. Я бы предпочел не писать родную обертку вокруг них, поэтому, к сожалению, я не могу позвонить setuid () как предлагает черный.

793   8  

8 ответов:

в Debian мы используем start-stop-daemon утилита, которая обрабатывает pid-файлы, изменяя пользователя, помещая демона в фоновый режим и многое другое.

Я не знаком с RedHat, но daemon утилита, которую вы уже используете (которая определена в /etc/init.d/functions, кстати.) упоминается везде как эквивалент start-stop-daemon, поэтому либо он также может изменить uid вашей программы, либо способ, которым вы это делаете, уже правильный.

если вы посмотрите по сети, есть несколько готовых оберток, которые можно использовать. Некоторые из них даже могут быть уже упакованы в RedHat. Взгляните на daemonize, например.

67  
2008-12-27 16:09:00

рассмотрев все предложения здесь, я обнаружил несколько вещей, которые, я надеюсь, будут полезны другим в моем положении:

  1. хоп прямо в точку меня в /etc/init.d/functions: в

52  
2017-05-23 14:46:54
  • некоторые демоны (например, apache) делают это сами по себе, вызывая setuid ()
  • вы могли бы использовать права доступа к файлу-файл флаг для запуска процесса от имени другого пользователя.
  • конечно, решение, которое вы упомянули, также работает.

если вы собираетесь написать свой собственный демон, то я рекомендую вызвать setuid(). Таким образом, ваш процесс может

  1. использовать суперпользователя (например, открытые файлы, создать PID-файлы).
  2. отбросьте свои привилегии root в определенный момент во время запуска.
5  
2016-09-08 08:29:35

просто добавить некоторые другие вещи, чтобы следить за:

  • Sudo в init.D скрипт не годится, так как ему нужен tty ("sudo: извините, у вас должен быть tty для запуска sudo")
  • Если вы демонизируете приложение java, вы можете рассмотреть Java Service Wrapper (который предоставляет механизм для установки идентификатора пользователя)
  • Другой альтернативой может быть su -- session-command=[cmd] [user]
3  
2010-10-14 17:41:52

на виртуальной машине CENTOS (Red Hat) для сервера svn: отредактировано /etc/init.d/svnserver чтобы изменить pid на что-то, что svn может написать:

pidfile=${PIDFILE-/home/svn/run/svnserve.pid}

и --user=svn:

daemon --pidfile=${pidfile} --user=svn $exec $args

оригинальный pidfile был /var/run/svnserve.pid. Демон не запустился, потому что только root мог писать там.

 These all work:
/etc/init.d/svnserve start
/etc/init.d/svnserve stop
/etc/init.d/svnserve restart
3  
2013-03-08 03:51:30

некоторые вещи, чтобы наблюдать за:

  • как вы упомянули, su запросит пароль, если вы уже являетесь целевым пользователем
  • аналогично, setuid (2) завершится неудачей, если вы уже являетесь целевым пользователем (на некоторых ОС)
  • setuid (2) не устанавливает привилегии или элементы управления ресурсами, определенные в /etc/limits.conf (Linux) или /etc/user_attr (Solaris)
  • Если вы идете по маршруту setgid(2)/setuid(2), Не забудьте вызвать initgroups (3) -- Подробнее об этом здесь

обычно я использую /sbin/su для переключения на соответствующего пользователя перед запуском демонов.

2  
2009-08-05 21:00:47

почему бы не попробовать следующее в скрипт:

setuid $USER application_name

это сработало для меня.

2  
2012-02-17 12:05:39

Мне нужно было запустить пружину .jar приложение в качестве службы, и нашел простой способ запустить это как конкретный пользователь:

Я изменил владельца и группу моего файла jar на пользователя, которого я хотел запустить. Затем симулировал эту банку в init.D и начал службу.

Так:

#chown myuser:myuser /var/lib/jenkins/workspace/springApp/target/springApp-1.0.jar

#ln -s /var/lib/jenkins/workspace/springApp/target/springApp-1.0.jar /etc/init.d/springApp

#service springApp start

#ps aux | grep java
myuser    9970  5.0  9.9 4071348 386132 ?      Sl   09:38   0:21 /bin/java -Dsun.misc.URLClassPath.disableJarChecking=true -jar /var/lib/jenkins/workspace/springApp/target/springApp-1.0.jar
0  
2016-08-31 10:47:48

Comments

    Ничего не найдено.
Click here to cancel reply.