在 Linux 中，如何允许 Python 脚本访问受保护目录中的 mkdir 而无需 su 访问权限？

发布于 2024-12-01 13:15:47 字数 153 浏览 2 评论 0原文

我正在尝试创建一个 python shell 脚本来在 Ubuntu Linux 中创建多个目录。我尝试在其中创建目录的主目录受到写访问保护。有没有办法允许Python脚本在那里创建目录，就好像它是root用户一样，但不必通过su运行脚本，因为其他用户可能需要运行脚本但不应该有su访问权限？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

兔小萌 2024-12-08 13:15:47

这个问题其实和Python没有什么关系。 Python 脚本只是一个像任何其他进程一样的进程，需要拥有正确的权限才能执行操作。通常的方法是创建一个组，并将该组的父目录设为g+ws。然后将适当的用户添加到该组作为补充组。

回复收藏 0 原文

愿得七秒忆 2024-12-08 13:15:47

不幸的是没有。 *nix 环境中进程的权限始终小于或等于触发它的人的权限。但这实际上是有道理的——允许进程超出用户自身的能力是一个巨大的安全风险。

这将需要有权访问该目录的人 - 通过他们的组之一或通过 sudo 。无论哪种方式，都需要在运行脚本的每台机器上进行人工交互。

就最简单的而言，您需要拥有该权限的人将其授予其他用户，或者直接使用 sudo 。

回复收藏 0 原文

葬シ愛 2024-12-08 13:15:47

您可以仅为此任务添加一个用户，然后为该用户授予您想要在其中创建子目录的目录的权限，并以该用户身份执行脚本。

可能有更简单的解决方案，但这就是我第一眼想到的。

回复收藏 0 原文

音盲 2024-12-08 13:15:47

您可以创建一个单独的命令来创建目录并将其设为 setuid root（或者更安全地，将 setuid 或 setgid 设置为父目录的所有者）。确保该命令不能执行您希望它执行的操作之外的任何操作（例如，不要让它将其参数传递给 system()）。然后从 Python 脚本调用该命令。

当然，这也将使任何其他具有新命令执行权限的进程能够创建子目录。

回复收藏 0 原文

∞琼窗梦回ˉ 2024-12-08 13:15:47

您可以标记您的 Python 脚本 setuid，这使得它以 root 身份运行，无论哪个用户运行它。但请注意，这可能是一个主要的安全风险，因为如果用户找到一种方法让您的脚本执行其不打算执行的操作，那么他们可能会导致 root 权限受到损害。如果您确实使脚本 setuid，请确保它非常简单并且只做一件事，并进行大量错误检查以防止意外输入。（查找 setuid 以获取有关执行此操作的更多信息；您需要使用 chmod 来标记可执行文件的 setuid 位。）

通常更好的解决方案是为要创建新目录的目录授予组权限，然后添加该权限将运行脚本的用户组。

您还可以在这两种解决方案之间进行折衷，方法是使脚本设置为 setuid，但在脚本的开头使其使用 root 权限来假定另一个用户的身份。然后，使用您已授予适当权限的其他用户的权限创建目录。这样，您仍然以用户无权直接执行操作的方式执行操作（因此他们必须使用脚本），但您可以最大限度地降低他们可能利用您的脚本进行操作的风险。做其他你没有预料到的事情。

我在这里找到了一篇关于编写 setuid 程序的不错的文章：

http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.124.384

回复收藏 0 原文

~没有更多了~