Python PAM 模块的安全问题？

Question

我有兴趣编写一个 PAM 模块，该模块将利用流行的 Unix 登录身份验证机制。我过去的大部分编程经验都是使用 Python 进行的，并且我正在交互的系统已经有一个 Python API。我用谷歌搜索了一下，发现 pam_python，它允许 PAM 模块调用 python 解释器，因此允许 PAM 模块本质上是用 Python 编写的。

但是，我了解到，当允许用户调用以比用户本身更高的访问级别运行的 Python 代码（例如 SUID Python 脚本）时，存在安全风险。这些问题是否也适用于 Python PAM 模块？

Answer 1

您提到的安全问题本身并不是关于“允许用户调用以高访问级别运行的 Python 代码”，而是允许用户对运行的运行进行任何形式的控制。此类代码的控制——最明显的是通过注入或更改代码本身，但更巧妙的是，还可以通过控制该进程的环境（例如，控制该代码导入模块的路径）。 （例如，如果用户能够控制 C 编写的代码加载 .so 的路径，则类似的问题也适用 - 尽管操作系统可能会更直接地帮助解决此类问题）。

在我看来，pam_python 能够很好地抵御此类风险，因此它应该可以安全地用于您的目的。但是，请注意文档指出...：

从 Python 编写 PAM 模块会产生问题
很大的性能损失和
需要安装Python，所以它
不是写作的最佳选择
将被广泛使用的模块。

因此，如果您认为您提供的机制将会流行，您可能会希望用 C 语言编写模块以避免这些问题。然而，在用 C 语言将其固定之前，用 Python 对其进行原型设计，作为有限分发的概念证明，是一个可行的策略。