简单的身份切换和执行工具su-exec —— 筑梦之路

已于 2024-06-30 13:25:09 修改
阅读量666 收藏 2
点赞数 24
分类专栏: linux系统运维 文章标签: 运维
于 2024-06-29 01:40:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34777982/article/details/140055810
版权

简介

su-exec是一个理想的用于身份切换和权限控制的工具,尤其适合对性能和空间有要求的环境。无论是开发人员还是系统管理员,都值得将它纳入工具箱,以提高工作效率和系统的安全性 

官方网站:GitHub - ncopa/su-exec: switch user and group id and exec 

背景说明

通常我们启动镜像前需要使用 shell 调整下启动状态,做准备。比如:生成配置文件,检查路径挂载等等,然后再拉起服务,但会遇到两个问题:

  1. 普通用户权限不够,必须启动 root ,但使用 root 启动服务又不安全。
  2. 使用 shell 启动进程会导致 shell 进程本身 PID 为 1。而我们所启动服务 PID 不是 1,这就会导致服务本身接收不到 SIGTERM 信号而正常关闭。

解决方案:

1. 使用su-exec 指定特定权限。

  • 这需要使用 apk等包管理命令安装或者编译安装
  • 需要提前创建好相应账号

2. 使用 exec 命令将启动的服务进程替换当前进程,从而将 PID=1 传递给服务进程

说明: 这里使用 su-exec 而不使用 sudo 的原因是传统 sudo 会新创建出一个进程运行服务,导致 PID 不能为 1,进而导致无法接收到 signal 信号而正常关闭服务

编译安装和使用示例 

# centos 7 编译

yum  install gcc make libtool

# 拉取源码

git clone https://github.com/ncopa/su-exec.git

cd su-exec 

make

# 拷贝可执行文件
cp su-exec /usr/bin/

# 使用示例

su-exec apache:1000 /usr/sbin/httpd -f /opt/www/httpd.conf

将httpd服务以apache用户和组id 1000的身份启动,并且直接执行提供的配置文件

应用场景

  • 在Docker容器中以特定用户运行应用,提升安全性。
  • 系统服务管理中,根据服务需求以非root用户身份执行,减少潜在风险。
  • 控制资源访问权限的场景,如限制某个程序对特定目录的读写权限。
  • 在自动化脚本中,灵活切换执行者的权限。

项目特点
简洁高效:su-exec体积小巧,只有大约10KB,对比同类工具gosu(约1.8MB),大大减少了依赖和存储占用。
直接执行:避免了su和sudo创建子进程的问题,提高了程序执行效率,解决了TTY和信号传递的问题。
易用性强:支持用户名、用户ID和组ID的数字表示,以及用户名:组名的形式,使得使用更灵活。
安全可靠:仅能由root用户执行,确保了权限变更的安全性。

 ES容器启动脚本示例

#!/bin/bash

set -e

# Add elasticsearch as command if needed
if [ "${1:0:1}" = '-' ]; then
	set -- elasticsearch "$@"
fi

# Drop root privileges if we are running elasticsearch
# allow the container to be started with `--user`
if [ "$1" = 'elasticsearch' -a "$(id -u)" = '0' ]; then
	# Change the ownership of user-mutable directories to elasticsearch
	for path in \
		/usr/share/elasticsearch/data \
		/usr/share/elasticsearch/logs \
	; do
		chown -R elasticsearch:elasticsearch "$path"
	done
	
	set -- su-exec elasticsearch "$@"
	#exec su-exec elasticsearch "$BASH_SOURCE" "$@"
fi

# As argument is not related to elasticsearch,
# then assume that user wants to run his own process,
# for example a `bash` shell to explore this image
exec "$@"

其他示例

# Dockerfile 内容如下:

FROM alpine:3.16
# 创建用户
RUN addgroup -S -g 1000 redis && adduser -S -G redis -u 999 redis
# 安装 su-exec 命令
RUN apk add --no-cache 'su-exec>=0.2'

############################################################
#
# 其它部署 内容
#
############################################################
 
ENTRYPOINT ["/usr/bin/entrypoint.sh"]

# /usr/bin/entrypoint.sh 内容如下:

#!/bin/sh
set -e
 
############################################################
#
# 启动准备脚本内容
#
############################################################
 
# 最终启动命令
exec su-exec redis redis-server "$@"

参考资料:

https://zhuanlan.zhihu.com/p/558116410

筑梦之路
关注
  • 24
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
su-exec:对于Linux node.js,以root身份运行可执行文件,类似于linux中的sudo。
05-05
执行 这个linux node.js模块使使用root特权执行外部可执行文件变得很简单,类似于sudo 。 该模块在初始化时需要root用户,因此您的应用程序应以root用户身份启动。 不要忘记使用process.setuid()和process.setgid()放弃root特权。 它与当前节点进程一起保留了一个很小的后台进程来获取root特权。 如何使用 使用npm install su-exec 。 使用前,应使用suExec.init()一次初始化。 此时,节点进程应具有root特权。 然后使用suExec.execFile(file, argv, options, cb)或suExec.execPath(file, argv, options, cb) 。 execPath方法可以搜索PATH中的可执行文件(就像shell一样)。 var suExec = requir
alpine:带有基于glibc的映像的Alpine Linux或最小Alpine Linux,该映像捆绑了tzdata,su-exec和一些有用的入口点脚本
04-06
这是或基于的映像,该映像捆绑了tzdata , su-exec和一些有用的入口点脚本。使用userid , group , groupid和主目录创建/更新用户。 将组和主目录分配给用户,并根据环境变量ENOLOGIN值设置外壳ENOLOGIN (有关更...
WildFly Kubernetes exec探针
最佳 Java 编程
06-06 296
活动和就绪探针会告诉Kubernetes吊舱是否正在运行并准备进行一些工作。 企业应用程序可以通过HTTP探测应用程序的状态。 如果没有暴露HTTP端点,Kubernetes也可以通过执行命令进行探测。 WildFly附带了有用的jboss-cli.sh 。 此CLI检索有关服务器和部署状态的信息,如下所示: $> ./jboss-cli.sh --connect --comma...
Linux下susu -命令的本质区别
程序员写的技术 FAQ 和杂文
06-19 807
本人以前一直习惯直接使用root,很少使用su,前几天才发现susu -命令是有着本质区别的! 大部分Linux发行版的默认账户是普通用户,而更改系统文件或者执行某些命令,需要root身份才能进行,这就需要从当前用户切换到root用户。Linux中切换用户的命令是susu -。前天我在使用useradd这个命令时,才体会到这两者的本质区别。如图: 我首先是用su命令切换到root身
推荐开源项目:su-exec - 简单高效的身份切换执行工具
最新发布
gitblog_00100的博客
05-16 352
推荐开源项目:su-exec - 简单高效的身份切换执行工具 项目地址:https://gitcode.com/ncopa/su-exec 项目介绍 在系统管理和容器部署的场景中,有时我们需要以不同的用户或用户组权限运行程序,而su-exec就是为此目的设计的一个轻量级工具。它的主要功能是切换用户ID(uid)和组ID(gid),并直接执行指定的命令,避免了像susudo那样通过子进程执行带来...
docker中的gosusu-exec工具
zyy247796143的博客
01-03 1916
Dockerfile中做出的权限配置,对非volume来说是可以生效的,而对volume则不然。一般的临时方案,都是去手动修改权限。常见的现象是,container对该路径并无写权限,以致其中服务的各种千奇百怪的问题。当指定了 ENTRYPOINT 后,CMD 的含义就发生了改变,不再是直接的运行其命令,而是将 CMD 的内容作为参数传给 ENTRYPOINT 指令。在容器运行的时候通过ENTRYPOINT来做一些操作,比如把volume挂载的目录权限给改正确,然后再切换普通用户运行正常的程序进程。
经典FTP软件SU-FTP-Server-Windows
03-24
Serv-U 15的设置极其简单,可以使不同的用户访问不同的权限,同时对不同用户设置不同的容晚和上传下载速度 Serv-U 15功能 1.流量控制 带宽限制,支持对上传、下载流量,磁盘空间,网络带宽设定限制,以确保带宽不会...
Linux中sudo、susu -命令的区别小结
01-10
只有在一些特殊情况下才采用登录root执行管理任务,一般情况下临时使用root权限多采用susudo命令。 su命令就是切换用户的工具,怎么理解呢?比如我们以普通用户tom登录的,但要添加用户任务,执行useradd ,tom...
刷机包BETA-SuperSU-v2.11.zip
10-15
【标题】"刷机包BETA-SuperSU-v2.11.zip" 是一个针对Android设备的第三方权限管理工具SuperSU的更新版本。SuperSU允许用户获取Root权限,即最高级别的系统访问权限,以便对手机进行深度定制和优化。 【描述】中...
su命令扩展
chunyang315的博客
01-02 587
- susudo 命令的区别 su 的用法: (1)-l ——login 登录并改变到所切换的用户环境; (2)-c 在不登录某用户的情况下去执行一些命令。 (3)su的优缺点;   su 的确为管理带来方便,通过切换到root下,能完成所有系统管理工具,只要把root的密码交给任何一个普通用户,他都能切换到root来完成所有的系统管理工作;但通过su切换到root后,也有
云原生之深入解析docker实用工具gosusu-exec实践
╰つ栺尖篴夢ゞ
12-15 851
在 Docker 中,需要把 host 的目录挂载到 container 中作为 volume 使用时,往往会发生文件权限问题。常见的现象是,container 对该路径并无写权限,以致其中服务的各种千奇百怪的问题。导致这类问题的原因,是 container 内外的 UID 不同。
Android11编译第六弹:user版本增加su+内置root用户
joedan0104的专栏
11-14 3188
问题1:user版本默认不开放root,adb登录后默认采用system用户,收紧用户权限;问题2:因为有些功能需要用到root用户,例如设置网卡地址,网卡开启和关闭等,因为线上设备user版本没有root用户开放,很不方便。采用允许登录root用户的方式,登录时增加密码验证。
seandroid android6,SEAndroid的各种策略文件
weixin_39929715的博客
05-28 237
在external/sepolicy目录存放了很多SELinux的策略定义文件。通过这些文件我们能了解到SEAndroid更多的细节,下面我们一起看看这些文件的内容。1.角色定义文件roles角色定义文件用来定义SELinux系统的角色。文件roles的内容如下:roler;role rtypes domain;从这里可以看到,SEAndroid实际上只定义了一种角色r。2.用户定义文件users...
Linux exec命令
Clef的专栏
10-29 4803
exec:是bash的内建命令,可以通过man builtin页面来
Linux系统exec命令
be happy
01-15 9145
shell的内建命令exec将并不启动新的shell,而是用要被执行命令替换当前的shell进程,并且将老进程的环境清理掉,而且exec命令后的其它命令将不再执行。  因此,如果你在一个shell里面,执行exec ls那么,当列出了当前目录后,这个shell就自己退出了,因为这个shell进程已被替换为仅仅执行ls命令的一个进程,执行结束自然也就退出了。为了避免这个影响我们的使用,一般将exe
linux xargs命令的使用及其与exec、管道的区别
热门推荐
一颗石头崽儿的专栏
12-05 1万+
linux xargs命令的使用及其与exec、管道的区别
获取su权限,并执行多条命令
09-15 1万+
工程代码:http://download.csdn.net/detail/victoryckl/4610617     在apk中,有时候需要root权限,例如通过apk更新系统库等system的文件等,避免升级固件,或者在apk中需要直接访问某些设备等。下面是在apk中获取root权限的方法,前提是设备已经root过了。    关键点在于下面这句,通过执行su产生一个具有root权限
Linux 执行su - 显示鉴定故障
03-31
当在Linux系统中执行"su -"命令时,如果出现鉴定故障的情况,可能有以下几种原因: 1. 密码错误:输入的密码与当前用户的密码不匹配,导致鉴定失败。请确保输入的密码正确,并且区分大小写。 2. 用户权限限制:如果当前用户没有足够的权限切换到目标用户,也会导致鉴定故障。请确认当前用户是否具有切换到目标用户的权限。 3. 目标用户不存在:如果输入的目标用户不存在,也会导致鉴定故障。请确认目标用户是否存在于系统中。 4. su命令被禁用:有些系统管理员会禁用su命令,以增加系统的安全性。如果su命令被禁用,执行"su -"命令时会显示鉴定故障。请联系系统管理员确认是否禁用了su命令。 如果以上情况都排除了,但仍然出现鉴定故障,请提供更多详细信息,例如具体的错误提示信息或操作系统版本,以便更好地帮助您解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值