从非root进程运行jailkit

Question

我有一个网络服务器，它会经常生成一个乳胶解释器（用 python 编写）。该解释器位于使用 jailkit 制作的 chroot 监狱内，因此必须以 root 身份启动。

我不希望服务器以 root 身份运行，并且无法设置 bash 脚本的 uid。我可以编写一个 setuid c 程序来调用该脚本，但我很确定这会导致很大的安全漏洞。

到目前为止，我想到的最好的办法是以 root 身份运行一个单独的网络服务器，其唯一的工作是生成解释器进程。

这样做的正确方法是什么？

Answer 1

最好的选择是创建一个非常小的脚本，它只需设置环境并调用 Latex 解释器并使该脚本成为 SUID 根。

这是最好的，因为：

• 作为 root 花费的时间最少
• 只需要一个脚本 SUID
• 小脚本 == 做错事的机会更小
• BASH 作为 root 使用是相当安全的，而运行整个 Web 服务器则不然。