以非特权用户身份运行pythondaemon并保留组成员身份

#!/usr/bin/python import logging, daemon, os if __name__ == '__main__': lh=logging.StreamHandler() logger = logging.getLogger() logger.setLevel(logging.INFO) logger.addHandler(lh) uid=1001 ## UID of the daemon user with daemon.DaemonContext(uid=uid, files_preserve=[lh.stream], stderr=lh.stream): logger.warn("UID : %s" % str(os.getuid())) logger.warn("groups: %s" % str(os.getgroups()))

2条回答

网友

1楼 · 编辑于 2024-10-02 10:30:02

这可以通过monkey修补守护程序模块来解决，代码如下：

import os, grp, pwd

class DaemonError(Exception):
    pass

class DaemonOSEnvironmentError(DaemonError, OSError):
    pass

def change_process_owner(uid, gid):
    try:
        # This line adds all the groups the user is member of
        # to keep the expected permissions
        os.setgroups(
            [g.gr_gid for g in grp.getgrall()
                if pwd.getpwuid(uid).pw_name in g.gr_mem
            ]
        )
        os.setgid(gid)
        os.setuid(uid)
    except Exception, exc:
        error = DaemonOSEnvironmentError(u"Unable to change process 
                    owner (%(exc)s)" % vars())
        raise error

然后是猴子补丁：

^{pr2}$

网友

2楼 · 编辑于 2024-10-02 10:30:02

我当前的解决方案包括在启动实际守护程序之前删除根特权，使用chuid参数来表示start-stop-daemon：

 start-stop-daemon \
       start \
       chuid daemonuser \
       name testdaemon \
       pidfile /var/run/testdaemon/test.pid \
       startas /tmp/testdaemon.py \
       \
       pidfile /var/run/testdaemon/test.pid \
       logfile=/var/log/testdaemon/testdaemon.log

这个解决方案的缺点是，我需要创建所有目录，守护进程应该在启动实际守护程序之前写入（值得注意的是/var/run/testdaemon和{}），然后在启动实际的守护进程（具有适当的文件权限）。在

我宁愿用python而不是bash编写这种逻辑。在

现在这是可行的，但我认为这应该是一个更优雅的解决方式。在

相关问题更多 >

编程相关推荐

热门问题

热门文章