Запуск задач от одного пользователя в непересекаемых по чтению папках / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Запуск задач от одного пользователя в непересекаемых по чтению папках

5 сообщений из 5, страница 1 из 1

Запуск задач от одного пользователя в непересекаемых по чтению папках

#36189070

junixar

Участник

Сообщения: 99

Рейтинг: 0 / 0

Всем привет.

Есть следующая задача: программное обеспечение (агент), работающее на Linux машине должно запускать задачи по требованию от различных сторонних пользователей. Т.е., иначе говоря, на linux машине постоянно работает агент, доступный удалённо по какому-либо интерфейсу. И вот удалённо различные пользователи присылают на агент команды - запустить ту или иную задачу.

Вопрос: каким образом можно реализовать безопасность в системе так, чтобы разные процессы, запущенные этим агентом, не имели доступа к файлам данных других таких же процессов? Агент работает и запускает задачи от фиксированного пользователя, других пользователей, отдельно для каждого запускаемого процесса, быть не может, ибо внешние запросы и пользователи заранее неизвестны.

Решаема ли вообще такая задача?

Заранее спасибо.

...

Рейтинг:

0 / 0

10.09.2009, 15:47

| Ответить | Цитировать | Написать

Запуск задач от одного пользователя в непересекаемых по чтению папках

#36190079

Мутабор

Участник

Сообщения: 375

Рейтинг: 0 / 0

junixarВсем привет.

Есть следующая задача: программное обеспечение (агент), работающее на Linux машине должно запускать задачи по требованию от различных сторонних пользователей. Т.е., иначе говоря, на linux машине постоянно работает агент, доступный удалённо по какому-либо интерфейсу. И вот удалённо различные пользователи присылают на агент команды - запустить ту или иную задачу.

Вопрос: каким образом можно реализовать безопасность в системе так, чтобы разные процессы, запущенные этим агентом, не имели доступа к файлам данных других таких же процессов? Агент работает и запускает задачи от фиксированного пользователя, других пользователей, отдельно для каждого запускаемого процесса, быть не может, ибо внешние запросы и пользователи заранее неизвестны.

Решаема ли вообще такая задача?

Заранее спасибо.

Запускать процессы в chroot, сойдет?

...

Рейтинг:

0 / 0

11.09.2009, 06:39

| Ответить | Цитировать | Написать

Запуск задач от одного пользователя в непересекаемых по чтению папках

#36190656

junixar

Участник

Сообщения: 99

Рейтинг: 0 / 0

chroot не подходит, потому как может быть запущен только root-ом. Приложение агент работает не под root.

...

Рейтинг:

0 / 0

11.09.2009, 11:52

| Ответить | Цитировать | Написать

Запуск задач от одного пользователя в непересекаемых по чтению папках

#36191148

гость_0

Гость

бесконечное количество запросов одновременно Вы не сможете запустить, значит у Вас предусмотрен какой то лимит. вот и сделайте столько пользователей сколько этот лимит. в агенте сделайте пул пользователей и выделяйте из него свободного при запросе. команду пишите в /tmp/userX.sh агенту дайте права на sudo -u user* /tmp/user*.sh форкайтесь и запускайте скрипт через суду. по SIGCHILD помечайте пользователя в пуле как "свободный"

...

Рейтинг:

0 / 0

11.09.2009, 14:12

| Ответить | Цитировать | Написать

Запуск задач от одного пользователя в непересекаемых по чтению папках

#36192219

пролетевший

Участник

Откуда: от Михал Иваныча

Сообщения: 1 248

Рейтинг: 0 / 0

Обычная практика в *nix - менять uid процесса после авторизации на реального ( или виртуального ) пользователя. Так работают большинство служб в **nix, типа telnet, ftp, и прочих. Но при этом обязательно основной демон запускать как root, поскольку другим процессам менять uid не положено. Это не обойти никак.
Не обязательно сам агент запускать как root, можно сделать простенькую службу которая только делает авторизацию и запускает реального агента с реальными правами.
См: man setuid, man seteuid, man setfsuid.
Чтобы не забивать систему пользователями, их можно подставлять через pam/nss - какой-нибудь готовый ( ldap, db ... ) или написать свой. Поскольку разговор идет о разных пользователях, какая-то авторизация наверняка имеется ?

...

Рейтинг:

0 / 0

12.09.2009, 04:50

| Ответить | Цитировать | Написать

5 сообщений из 5, страница 1 из 1

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=36190656&tid=1485519]:	0ms
get settings:	10ms
get forum list:	14ms
check forum access:	3ms
check topic access:	3ms
track hit:	174ms
get topic data:	9ms
get forum data:	2ms
get page messages:	38ms
get tp. blocked users:	1ms
others:	209ms

total:	463ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы