July 2015 Blog Posts

Linux下以其他用户运行程序

MitchellChu 2015-07-29 Unix & Linux

 

#1:runuser命令

命令使用一个替代的用户或者组ID运行一个Shell。这个命令仅在root用户时有用。

仅以会话PAM钩子运行,并且没有密码提示。如果用一个非root用户,并且该用户没有权限设置user ID,这个命令将会因为程序没有setuid而失败。因runuser不会运行认证和账户PAM钩子,它比su更底层。

语法:

runuser -l userNameHere -c 'command'
runuser -l userNameHere -c '/path/to/command arg1 arg2'

举例来说,作为一个root用户,你也许想检查下oracle用户下的shell资源限制,输入:

# runuser -l oracle -c 'ulimit -SHa'

或者监察下nginx或lighttpd web服务器限制:

# runuser -l nginx -c 'ulimit -SHa'

或 

# runuser -l lighttpd -c 'ulimit -SHa'

 有时,root用户由于权限(安全)问题不能浏览NFS挂载的共享:

# ls -l /nfs/wwwroot/cyberciti.biz/http

或者

# cd /nfs/wwwroot/cyberciti.biz/http

可能的输出:

-bash: cd: /nfs/wwwroot/cyberciti.biz/http/: Permission denied

尽管如此,apache用户被允许浏览或访问挂载在/nfs/wwwroot/cyberciti.biz/http/下基于nfs的系统:

# runuser -l apache -c 'ls -l /nfs/wwwroot/cyberciti.biz/http/'

或者

# runuser -l apache -c 'cd /nfs/wwwroot/cyberciti.biz/http/; vi index.php'

使用runuser命令,无需使用密码,并且,只能在root用户下使用。

可用选项:

1. -l: 让shell成为登录shell,用 runuser -l PAM 文件替代默认的

2. -g:指定主要的组

3. -G 追加组

4. -c:命令,要传到shell的单个命令

5. --session-command=COMMAND:使用-c传递单个命令道shell中并且不创建新的会话

6. -m: 不重置环境变量。

 

 

#2:su命令

命令允许你成为一个超级用户或者替代用户(substitute user),欺骗用户(spoof user),设置用户(set user)或者切换用户(switch user)。它允许一个Linxu用户切换当前用户到那些你知道密码的目标用户,切换包括与之关联的运行中的控制台(console)或者Shell,它的语法如下:

su -
su - username

 

切换到root用户

su命令会询问目标用户的密码,在你的shell命令行中输入 su - 来切换到root用户(你必须知道root用户的密码):

vivek@wks01:~$ su -

或者

vivek@wks01:~$ su - root

输出示例:

Password:
root@wks01:/root# logout
vivek@wks01:~$

如果输入了正确的root密码,会话的所有权(这里应该指当前控制台的上下文——译注)将改为root账户。输入logout可以退出一个root登录的shell,输入 whoami或者id命令来验证当前会话的所有者:

whoami

或者

id

 

用root账户运行命令

语法是:

su - root -c "command"
# OR
su - -c "command arg1"

 查看/root目录下的内容,这些原本是普通用户无法访问的,运行:

su - root -c "ls -l /root"

需要注意的是,Linix和一些Unix-like系统有一个wheel用户组,并且只允许这个组内的用户使用su切换到root。

 

使用su命令来让其他用户运行命令

下面这个命令是切换到oracle的账户,并且显示限制清单:

$ su - oracle -c 'ulimit -aHS'

 同样, 如果提供了正确的oracle密码,会话所有权将会变成oracle账户。su命令的日志保存在系统日志中,一般是在/var/log/auth.log(Debian/Ubuntu)或者/var/log/secure(RHEL/CentOS)。

 

 

#3: sudo命令

以另外的用户来执行一个命令,但是它跟着一组关于那些用户可以以那些其他用户执行那些命令的规则(有点绕口——译注)。这个规则在/etc/sudoers这个文件中被定义。不像susudo验证用户是靠用户自己的密码而不是那个要切换的用户密码。当提供一个审计跟踪命令和他们的参数时(原文:...whileproviding an audit trail of the commands and their arguments——译注)sudo允许一个系统管理员给某些用户(或用户组)委派以root或其他用户来运行某些(或全部)命令的权限。这允许无需在用户之间共享密码就可以在指定宿主上将指定命令委派给指定用户。语法如下:

sudo command

参照下面的这些链接来获取更多信息:

1. 在操作系统如何配置和使用sudo工具1

2. sudo项目主页2

 

 

GUI工具注意事项(su和sudo的前端GUI)

命令是su的前台,sudo的前端。他们的主要用途是用来运行需要root权限但不需要运行一个X terminal emulator和使用直接使用su的图形化命令。语法如下:

gksu [-u <user>] [options] <command>
gksudo [-u <user>] [options] <command>
 

仅输入gksu,将会显示下面这个弹窗:

Linux gksu: Run Command As Root User Using Gnome GUI

图1:运行中的gksu

然后,你将会被要求输入root用户的密码:

Gnome gksu Command

图2:Gnome gksu对目标用户的验证框

你也可以直接运行下面代码:

gksu -u root 'ls /root'

或,以oracle用户运行命令:

gksu -u oracle 'ulimit -aHS'

或作为root登录:

gksu -u root -l

 

 

总结:runuser VS su VS sudo

命令 root 到 用户 用户 到 root 任意用户 到 任意用户 AnyUser 认证方式 日志文件 备注
runuser Y N N None N/A As runuser doesn't run auth and account PAM hooks, it runs with lower overhead than su.
su Y Y Y Target user's password /var/log/auth.log or /var/log/secure You must share your password or root password with other users.
sudo Y Y Y Authenticates users against their own password rather than that of the target user. /var/log/auth.log or /var/log/secure Allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as root or another user while providing an audit trail of the commands.

 请查看man帮助页面来获取更多关于susudogksu,和gksudo命令的相关信息。

 

说明:

本文是nixCraft一篇文章的翻译,非常感谢nixCraft提供如此棒的教程,原文可以通过参考的原文连接查看,在翻译中省略了头尾一些非相关信息,同时由于翻译时间有限,是通过边看边译的形式完成此篇博文,错误肯定非常多,还请大家多多指正。

 

参考:

 1.  在Linux操作系统下如何配置和使用sudo(英文页面

 2.  sudo项目主页(英文页面

 3. 本篇博客原文(英文页面

Linux非root用户程序使用小于1024端口

MitchellChu 2015-07-09 Unix & Linux

下,默认端口1024下的是要在root下才能使用的,在其他用户下,如果尝试使用将会报错。在有的时候,我们可能考虑程序运行在root帐户下,可能会给Linux系统带来安全风险。那如何能够让非root用户运行的程序能够对外启用小于1024的端口呢?本文尝试给出一些方法:

 

第一种方法:

SetUID

为用户的应用程序在执行位设置user ID能够使程序可以有root权限来运行,这个方法让程序能够像在root下运行有同样的效果,不过需要非常小心,这种方法同样会带来,特别是当要执行的程序本身存在安全风险。使用的方法是:

chown root.root /path/to/application
#使用SetUID
chmod u+s /path/to/application

我们可以看到在系统下,/usr/bin/passwd这种文件,就使用了SetUID,使得每个系统能的用户都能用passwd来修改密码——这是要修改/etc/passwd的文件(而这个只有root有权限)。

既然要使用非root用户运行程序,目的就是要降低程序本身给系统带来的安全风险,因此,本方法使用的时候需要特别谨慎。

 

第二种方法:

CAP_NET_BIND_SERVICE

从2.1开始,Linux内核有了能力的概念,这使得普通用户也能够做只有超级用户才能完成的工作,这包括使用端口1

获取CAP_NET_BIND_SERVICE能力,即使服务程序运行在非root帐户下,也能够banding到低端口。使用的方法:

#设置CAP_NET_BIND_SERVICE
setcap cap_net_bind_service =+ep /path/to/application

Note:

1. 这个方法并不是所有Linux系统通适,内核在2.1之前的并没有提供,因此你需要检查要使用此方法所在系统是否支持(Linux must support capacity);

2. 另外需要注意的是,如果要运行的程序文件是一个脚本,这个方法是没有办法正常工作的(Script won't work)。

 

第三种方法:

Port Forwarding

如果要运行的程序有权限监听其他端口,那么这个方法是可以使用的,首先让程序运行在非root帐户下,并绑定高于1024的端口,在确保能正常工作的时候,将低端口通过端口转发,将低端口转到高端口,从而实现非root运行的程序。要使用此方法可以使用下面的方式:

# Enable the IP FORWARD kernel parameter.
sysctl -w net.ipv4.ip_forward=1

# Use iptables rules to redirect packets
iptables -F -t nat
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to:8088

第一步使用sysctl确保启用IP FORWARD功能(此功能在Red Hat/CentOS默认是被禁用的),注意,代码中使用的sysctl设置是临时性设置,重启之后将会被重置,如果要长久保存,需要在/etc/sysctl.conf文件内修改:

# Default value is 0, need change to 1.
# net.ipv4.ip_forward = 0
net.ipv4.ip_forward = 1

然后从文件中加载新的配置

# load new sysctl.conf
sysctl -p /etc/sysctl.conf

# or sysctl -p
# default filename is /etc/sysctl.conf

 第二步就是使用iptables的规则来实现端口转发到程序所在的端口,示例中我们要将80端口转发到8088。

此种方法能够比较好的达到我们的目的,我们的程序可以通过非root用户来运行,并能够对外提供号的服务。

 

第四种方式:

RINETD2

这种方法使用的也是端口转发,此工具可以将本地端口映射到远程端口,但此功能对于我们当前的功能来说,有点鸡肋,毕竟我们新增了一个额外的程序,这将可能会增加我们系统的风险性。在此不做推荐。

 

参考说明:

1.  Linux capabilities文档,参见其中CAP_NET_BIND_SERVIC,文中的内核是否从2.1开始有这个功能并不完全确定,此信息来自网上。

2.  官网地址:RINETD

 

关于博主

  一枚成分复杂的网络IT分子,属于互联网行业分类中的杂牌军。