Безопасно выполните произвольные команды в Linux
Я хотел бы, чтобы пользователь указал список команд для сбора статистики о системе, которой он интересуется. Я выполнил бы их согласно различным сценариям автоматически. Однако я не совсем уверен, как поиграть в песочнице команды безопасно.
Одна опция состояла бы в том, чтобы нести белый список позволенных команд, но она должна будет сохраняться. Я хотел бы быть действительно гибким такой как, действительно ли возможно выполнить произвольную команду в Linux с полномочиями файла только для чтения?
Каковы Ваши идеи?
2 ответа
Под хинду существует sandbox инструмент, который позволяет запускать программы в песочнице только с доступом для чтения к внешней стороне. Я создал его успешно в соответствии с Ubuntu, также. Источники могут быть загружены здесь.
SELinux позволит Вам делать это. Можно или поместить исполняемые файлы в ограниченный домен, или можно создать новую роль с ограниченными полномочиями.