제한된 권한으로 라이브러리 나 프로세스를로드 할 수 있습니까?

Question

이것은 내가하고 싶은 것의 상상의 예입니다. 문자 그대로 받아들이지 마라.

내 프로세스가 www-data로 실행 중이며 thedevil.lua라는 lua 스크립트가 있다고 가정 해 보겠습니다. 삭제, 손상 및 가능한 한 많은 문제를 일으킬 것입니다. 루아 인터프리터가있는 프로세스 (또는 공유 객체로드)를 실행하고 사용자가 www- 데이터이므로 모든 웹 사이트를 망칠려고합니다.

제한된 권한으로이 프로세스를 만들거나 라이브러리를로드 할 수있는 방법이 있습니까? 스크립트가 /var/www/devilscript/thedevil.lua에 있다고 가정 해 보겠습니다. /tmp/www/devilscript 및 /var/www/devilscript/에 대한 권한을 부여하고 싶습니다. 그게 가능하니? devilscript라는 새로운 사용자를 만들고 그 사용자로 프로세스를 실행하는 것보다 제한된 권한을 부여하고 싶지 않습니다. 나는 단지 www- 데이터라고 말하고 싶지만,이 프로세스/lib에 내가 할 수있는 것의 부분 집합만을주고 싶다.

-edit- 낮은 권한으로 말한 so 또는 binary를 실행하는 함수의 이름을 알려 주시겠습니까?
-edit2- 내가 질문 한 것처럼 창문을 쓸 수 있습니까?

Answer 1

예. 현재 실행중인 운영 체제에 따라 최신 Unix 시스템에서 사용할 수있는 다양한 종류의 샌드 박싱 방법이 있습니다. 그것은 당신이 달리고있는 것에 약간 달려 있습니다. 리눅스에서는 SELinux, Apparmor, Tomoyo 등이 너무 많습니다. FreeBSD는 Capsicum 기능 시스템뿐만 아니라 강제적 인 접근 통제 시스템을 가지고 있습니다. Mac OS X에는 샌드 박스 시스템도 있습니다.

대부분의 시스템에서는 특정 프로세스가 상당히 세분화 된 권한을 줄일 수 있습니다. 일반적으로 기능 시스템은 MAC (Mandatory Access Control) 시스템보다 사용하기가 쉽지만 사용 빈도가 적습니다.

이전 Unix 시스템에서 이러한 종류의 권한 제한을 수행하는 기본적인 방법은 프로세스를 "chrooting"하는 것인데, 즉 chroot 시스템 호출을 사용하여 파일 계층의 제한된 부분에서 프로세스를 실행하는 것입니다. 유감스럽게도 유닉스 시스템에서 사용할 수있는 유일한 진정한 이식성있는 형태의 권한 제한은 여전히 ​​남아 있습니다. 따라서 많은 시스템 데몬의 설정 시스템에서이를 경험하게 될 것입니다.

Answer 2

SELinux를 사용하면 프로세스가 (심지어 루트로) 실행중인 사용자와 관계없이 다양한 파일 컨텍스트와 리소스에 대한 액세스가 제한된 도메인을 만들 수 있습니다.