rootwrap模块解析以及功能扩展

最新推荐文章于 2024-06-06 14:27:00 发布
最新推荐文章于 2024-06-06 14:27:00 发布
阅读量5.4k 收藏 4
点赞数
分类专栏: OpenStack源码分析-NOVA OpenStack源码分析 文章标签: OpenStack nova 源代码 扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoxingnengjisuan/article/details/47102593
版权
rootwrap模块用于非特权用户安全执行需要root权限的操作。它避免了使用sudoers文件的复杂性和限制。本文分析了rootwrap的工作流程,包括命令行解析、配置文件读取、过滤器加载和匹配,以及如何通过功能扩展实现特定命令的执行。扩展方法包括直接修改过滤器文件或创建新的过滤器类。
摘要由CSDN通过智能技术生成

感谢朋友支持本博客,欢迎共同探讨交流,由于能力和时间有限,错误之处在所难免,欢迎指正!

如果转载,请保留作者信息。
博客地址:http://blog.csdn.net/gaoxingnengjisuan
邮箱地址:dong.liu@siat.ac.cn

PS:因为各方面的原因好久没有写博客了,有时间还是要写一写的!


    使用rootwrap的目的就是针对系统某些特定的操作,让非特权用户以root用户的身份来安全地执行这些操作。据说nova曾经使用sudoers文件来列出允许执行的特权命令,使用sudo来运行这些命令,但是这样做不容易维护,而且不能进行复杂的参数处理(引自:http://blog.lightcloud.cn/?p=240)。早期版本我没有读过,而rootwrap的出现就是为了解决上述问题。


示例:

    对于文件要求root权限的文件/etc/iscsi/initiatorname.iscsi,如果我们在openstack系统中以非特权用户的身份来查看:

cat /etc/iscsi/initiatorname.iscsi
则会提示权限不足:Permission denied;而如果我们应用rootwrap模块对其进行命令行的封装: 
sudo nova-rootwrap /etc/nova/rootwrap.conf cat /etc/iscsi/initiatorname.iscsi
就可以以非特权用户的身份在免输入密码的情况下顺利执行这条命令,得到想要的结果 

InitiatorName=iqn.1994-05.com.redhat:5536dfb81ec0

    在这篇博客中,我们就以命令行

sudo nova-rootwrap /etc/nova/rootwrap.conf cat /etc/iscsi/initiatorname.iscsi
为例,来解析rootwrap模块具体的执行过程,以及功能扩展的方式。

注:至于配置文件/etc/nova/rootwrap.conf等的作用会在下面模块分析的过程中进行解析;


1.rootwrap模块解析

    rootwrap已经迁移到项目oslo中。我们以rootwrap在nova中的应用为例,在文件setup.cfg中可以看到nova-rootwrap的entrance为nova-rootwrap = oslo.rootwrap.cmd:main;

    首先来看方法:/oslo/rootwrap/cmd.py----def main:

def main():
    # Split arguments, require at least a command
    """
    sudo nova-rootwrap /etc/nova/rootwrap.conf cat /etc/iscsi/initiatorname.iscsi
    sys.argv = [
        '/usr/bin/nova-rootwrap', 
        '/etc/nova/rootwrap.conf', 
        'cat', 
        '/etc/iscsi/initiatorname.iscsi']
    """
    execname = sys.argv.pop(0)
    if len(sys.argv) < 2:
        _exit_error(execname, "No command specified", RC_NOCOMMAND, log=False)

    configfile = sys.argv.pop(0)
    userargs = sys.argv[:]
    """
    execname = /usr/bin/nova-rootwrap
    configfile = /etc/nova/rootwrap.conf
    userargs = ['cat', '/etc/iscsi/initiatorname.iscsi']
    """

    # Add ../ to sys.path to allow running from branch
    possible_topdir = os.path.normpath(os.path.join(os.path.abspath(execname),
                                                    os.pardir, os.pardir))
    """
    possible_topdir = /usr
    """
    
    if os.path.exists(os.path.join(possible_topdir, "oslo", "__init__.py")):
最低0.47元/天 解锁文章
溜溜小哥
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【原创】Magisk Root隐藏模块 Shamiko安装
拉灯的小手的博客
07-13 5895
Magisk 刷入流程可参考之前文章,此文不在赘述 google nexus5x 刷机抓包逆向环境配置(一) google nexus5x 刷机抓包逆向环境配置(二) google nexus5x 刷机抓包逆向环境配置(三)1.下载Shamiko并上传至手机目录:adb push Shamiko-v0.5.1-115-release.zip /sdcard/ 2.Magisk的模块功能中使用本地安装刷入Shamiko 3.Magisk的设置中关闭遵守排除列表 4.回到模块功能此时Shamiko中显示Sh
Rootwrap
telnetning的专栏
02-06 586
Rootwrap架构目的root 封装器的目标是,允许一个服务特有的非特权用户以可能的最安全的方式去以 root 用户去运行一些命令。曾经,Nova 使用一个特定的 sudoers 文件列出所有的 nova 用户允许运行的命令列表,运行时直接使用 sudo 来以 root 用户执行。然而,这种方式难以管理。sudoers 文件是特定包的一部分。它不允许复杂的过滤参数。
openstack rootwrap详解
m0_37313888的博客
12-11 3185
1.前言 网上关于openstack rootwrap的讲解还是有一些的,只知道是一个控制nova,neutron等普通用户权限的工具。但是这些代码是怎么实现以nova,neutron用户启动的呢? 这个问题我研究了一下,还是要从openstack每一项服务的开机启动脚本看起。先总结一下,openstack 实现nova,neutron普通用户的权限控制的基本方法可以概括为“以普通用户运行,只...
oslo_rootwrap学习小结
最新发布
peter6768的博客
06-06 243
参考官方文档与部署环境学习ceilometer yoga版本一个ipmi指标hardware.ipmi.node.power采集主机电源功率,存在两个问题:1默认采集逻辑只能在intel平台跑,无法在非intel跑, 2无rootwrap daemon情况下无法采集。解决这两个问题的过程用到了rootwrap
[Android] [ROOT] Magisk(魔术师/面具) 设置以及必装模块的安装
热门推荐
OxYGC
12-07 4万+
点击下载(密码:mh) Magisk模块-神仙自动救砖-支持OTA稳定.zip 注意,该功能跟Riru Hide不同,不能避免root被检测到,没有任何隐藏作用。即使你把某些程序加入排除列表,它们依旧可以发现Zygisk。如果用户要隐藏root,只能借助其他方式,比如添加Shamiko模块。 要使用“Shamiko”模块隐藏root,需要面具开启Zygisk,因为它是一个依赖面具Zygisk才能运行的模块。下图是开启Zygisk的步骤,需要注意的是,打开“Zygisk”选项后要重启手机,Zygisk才能生效
android_root后的玩机:magisk模块&root隐藏/lsposed&xposed框架的使用/MIUI小窗多开
xuchaoxin1375的博客
07-30 1万+
但是解决方案各种各样,不同版本的magisk和手机型号均可能产生不同的效果(有的甚至无效)这部分内容也挺重要,关乎某些银行类软件(设置是手机营业厅app)的使用。这一部分的操作过程由于我没有截图,所以不清楚的可以查看其他文章。scene5提供了性能调度(和省电调度)还提供了其他调度模块的下载引导。..................
PyPI 官网下载 | oslo.rootwrap-6.3.0.tar.gz
01-29
标签包括"zookeeper"、"分布式"、"云原生"和"cloud native"以及"Python库",这些标签揭示了oslo.rootwrap的一些核心功能和应用领域。Zookeeper通常与分布式协调服务有关,这意味着oslo.rootwrap可能涉及在分布式系统...
python-oslo-rootwrap-doc-5.15.3-1.el7.noarch.rpm
01-24
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
Python库 | oslo.rootwrap-5.1.0.tar.gz
05-20
资源分类:Python库 所属语言:Python 资源全名:oslo.rootwrap-5.1.0.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | oslo.rootwrap-5.6.0-py2.py3-none-any.whl
02-18
- 运行时动态解析:当需要执行一个需要root权限的命令时,`oslo.rootwrap`会根据配置文件解析出合适的命令行,并以配置中指定的非root用户身份执行。 - 权限代理:实际上执行的是`oslo.rootwrap`提供的代理程序,该...
Python库 | oslo.rootwrap-5.15.0-py2.py3-none-any.whl
02-18
`oslo.rootwrap`的核心功能在于它的命令过滤器系统。这个系统允许管理员指定一组规则,这些规则定义了哪些命令可以被执行,以及如何执行它们。例如,你可以指定一个命令只能通过指定的路径执行,或者限制它接受的...
xposed root_五个有用的Xposed模块,用于自定义您的Root Android手机
culintai3473的博客
09-05 3667
xposed rootModding Android is far from a new idea, andwhen it comes to bending the OS to your will, Xposed is one of the most powerful tools out there. While there aredozens of Xposed modules availa...
android 手机获取root权限(刷入magisk面具方式)_获取刷入模块_MIUI_android7/android12实践
xuchaoxin1375的博客
07-27 1万+
玩机搞机----root面具的安装 更新 隐藏root 德尔塔面具等等综合解析
小马哥的专栏
04-22 3万+
目前的机型都是root面具,今天的帖子主要分析下面具的一些使用常识。一般面具如何使用一参考我前面的帖子。基本步骤都是解锁bl---修补boot---刷入boot----安装面具apk。但目前很多app会检测系统root,对于有些敏感类软件例如银行等等然后会检测当前系统root环境。禁止运行。那么对应的隐藏root方法也有很多。慢慢往下看
太极 免ROOT使用Xposed模块
佳哥的博客
05-23 4万+
太极 免ROOT使用Xposed模块 什么是太极? 能干什么? 我这里就不说了,大家可以去关注虚拟框架 公众号去了解一下,我这里只是讲解怎么用。 一,下载太极 最新版太极下载 畅玩微信 模块下载 其他模块都可以在虚拟框架公众号中下载 二,添加应用 打开太极可以看到 太极内核已激活,说明可以正常使用。 点击右下角按钮展开可以看到创建应用,模块管理,下载模块, ...
Maven构建项目出现多个root模块解决方法
hkl_Forever的博客
08-28 5550
1、很明显父工程没有控制common模块,打开父模块pom.xml文件,检查标签,发现没有将子模块项目放到内,所以会出现多个root。1、使用maven构建项目出现多个root,如下图所示,导致父工程无法对common模块构建。2、将子模块项目放到内,即可解决。
手机测试Android模块,五个有用的Xposed模块,用于自定义您的Rooted Android手机 | MOS86...
weixin_42531886的博客
05-26 1026
Modding Android远不是一个新的想法,而是在将操作系统转换为您的意愿的同时,Xposed是其中最强大的工具之一。虽然有几十个Xposed模块可用,我们是什么?简而言之,Xposed框架允许用户选择和选择他们的功能它把它放在just: Xposed没有X)。该计划是最终推出Xposed对操作系统的支持,但不幸的是,在发生这种情况之前有很多障碍。Xposed的开发者在2017年1月发布了一...
centos一键部署openstackshell脚本
05-18
root_helper = sudo /usr/bin/neutron-rootwrap /etc/neutron/rootwrap.conf [keystone_authtoken] auth_uri = http://controller:5000 auth_url = http://controller:35357 memcached_servers = controller:11211 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值