ubuntu : 뿌리가 아닌 사용자가 사용자를 생성하고 가장하는 허용

Question

신뢰할 수없는 당사자를 대신하여 코드를 수신하고 실행하는 서버를 작성하고 싶습니다.

이것을보다 안전하게하기 위해서는 코드 가이 코드를 실행하기 위해 독점적으로 생성 된 사용자로서 실행하고 삭제하기를 원합니다.

뿌리가 아닌 사용자에게 다른 사용자를 생성, 사칭 및 제거 할 수있는 권한을 부여하려면 어떻게해야합니까?

Answer 1

이를 수행 할 수있는 유일한 방법은 세트 루트 루트 (예 : Chown Root My-Proxy-Process; CHMOD 47NN My-Proxy-Process입니다. 그리고 Setuid Proxy 프로그램은 보안 고려 사항을 처리하는 데 도움이됩니다. 지명 된 사용자 등

그러나 이에 대한 보안 문제는 상당히 명확해야합니다. 제한 될 수있는 한 가지 방법은 비정규 프로세스가 이름 그룹의 사용자와 함께 실행되도록하는 것입니다. 그런 다음 root : myPrivateGroup을 사용하여 THET 프록시 명령을 chown 및 4710으로 chown하므로 MyPrivateGroup의 구성원 인 사용자 만 실행할 수 있습니다.

이것은 아마도 가능한 한 안전 할 것입니다. 가장 중요한 것은 프록시 프로세스가 양호하고 안전하고 잠긴 상태를 유지하여 관련 사용자 만 그룹 멤버십을 통해 실행할 수 있습니다.

다른 제한 사항이있는 경우 사용자가 제공 한 프로세스에 적용 할 수있는 경우 프록시 프로그램은 프로세스가 해당 규칙에 부응하는지 확인할 수 있습니다. 이것이 멈추는 갭이 될 수 있지만, 누군가가 테스트를 통과하는 "나쁜"프로그램을 만들기위한 기술의 영역을 넘어서는 것은 아닙니다.

추가 보안 (권장)을 위해 Mark4O에서 언급 한대로 샌드 박스 또는 Chroot 감옥을 사용하십시오.

Answer 2

어쩌면 Sudo 및 /etc /sudoers를 사용하여 뿌리가 아닌 사용자에게 권한을 부여 할 수 있지만이 방법은 안전하지 않고 선형이 아닌 것 같습니다. 필요한 것이 무엇인지 모르겠지만 일부 사용자를 사전 창조 한 다음 사용할 수 있습니다.

Answer 3

당신은 어떤 종류의 사용을 원할 것입니다 샌드 박스 또는 가상화; 적어도 a chroot 최소한의 환경. 또한보십시오 Linux의 샌드 박스.

Answer 4

터미널 없이는 SU VIE 스크립트를 사용할 수 없으므로 문제입니다 (아마도 보안 기능). 나는 당신이 이것을 통해 당신의 길을 해킹 할 수 있다고 확신하지만, 아마도 좋은 이유로 이루어 졌을 것입니다.