Могу ли я загрузить библиотеку или процесс с ограниченными разрешениями?

Question

Это мнимый пример того, что я люблю делать. Не воспринимайте это слишком буквально.

Скажите, что мой процесс запускается как www-data, и у меня есть сценарий lua под названием thedevil.lua. Он попытается удалить, испортить и вызвать как можно больше проблем. Я хотел бы запустить процесс (или загрузить общий объект), который имеет интерпретатор lua, и он попытается разрушить все мои веб-сайты, поскольку пользователь является www-данными.

Есть ли способ, который я могу сказать, позволяет создать этот процесс (или загрузить библиотеку) с правами LIMITED. Скажем, скрипт находится в /var/www/devilscript/thedevil.lua. Я бы хотел дать ей разрешения для /tmp/www/devilscript и /var/www/devilscript/. Это возможно? Я не хочу создавать нового пользователя с именем devilscript и давать ему ограниченные разрешения, кроме запуска процесса как этого пользователя. Я просто хочу сказать, что я www-data, но я хочу только дать этому процессу/lib подмножество того, что я могу сделать.

-edit- Не могли бы вы дать мне имя функций для выполнения указанного так или двоичного с более низкими разрешениями?
-edit2- Могут ли окна делать что-то вроде того, что я спросил?

Answer 1

Да, в зависимости от операционной системы, в которой вы работаете, существуют различные методы песочницы, доступные в современных Unix-системах. Это немного зависит от того, на котором вы работаете. В Linux почти слишком много - SELinux, Apparmor, Tomoyo и другие. FreeBSD имеет обязательную систему контроля доступа, а также систему возможностей Capsicum. Mac OS X также имеет систему песочницы.

Большинство таких систем позволяют снизить привилегию, получаемую определенным процессом в достаточно гранулированном виде. В целом, системы с возможностями легче работать с системами управления доступом (MAC), но они реже доступны.

Простейший способ сделать это ограничение привилегий в старых системах Unix - это «chrooting» процесс, то есть его запуск в ограниченной части файловой иерархии с использованием системного вызова chroot. К сожалению, это единственная по-настоящему портативная форма снижения привилегий, доступная в Unix-системах - вы, таким образом, сталкиваетесь с ней в конфигурационных системах многих системных демонов.

Answer 2

SELinux позволит вам создать домен, который имеет ограниченный доступ к различным контекстам и ресурсам файлов, независимо от того, какой пользователь выполняет процесс (даже root).