从非root进程运行jailkit

时间:2011-04-29 10:08:14

标签: linux chroot setuid

我有一个网络服务器,它经常会产生一个乳胶解释器(用python编写)。这个解释器位于使用jailkit制作的chroot监狱内,所以它必须以root身份启动。

我不希望服务器以root身份运行,我无法设置bash脚本。我可以编写一个调用脚本的setuid c程序,但我很确定会导致很大的安全漏洞。

到目前为止,我提出的最好的办法是以root身份运行一个单独的Web服务器,其唯一的工作就是生成解释器进程。

这样做的正确方法是什么?

1 个答案:

答案 0 :(得分:0)

最好的办法是创建一个非常小的脚本,只需设置环境并调用latex解释器并使该脚本成为SUID root。

这是最好的,因为:

  • 以root用户花费的时间最少
  • 只需一个脚本需要SUID
  • 小脚本==做错事的机会较小
  • 在运行整个Web服务器时,以root身份使用BASH非常安全。