问题描述
这个问题是如何拥有其他(非root)用户可以运行但无法检查的python脚本。
用例示例:
#!/usr/bin/env python
import requests
params = { 'user':'fred','password':'123' }
url = 'https://.......'
print(requests.get(url,params).content)
在此示例中(但仅是示例),我希望用户运行脚本以获取已获取的Web内容,但看不到用于获取该内容的凭据。
设置执行许可权但不设置读取许可权不会获得与已编译可执行文件相同的结果。这是一个“ hello world”示例。
在C中:
$ cat test.c
#include <stdio.h>
int main() {
puts("secret message");
return 0;
}
$ gcc -o secret test.c
$ chmod 711 secret
$ sudo -u nobody ./secret
secret message
$ sudo -u nobody strings ./secret
strings: ./secret: Permission denied
在Python中:
$ cat test.py
#!/usr/bin/python
print("secret message")
$ chmod 711 test.py
$ sudo -u nobody ./test.py
/usr/bin/python: can't open file './test.py': [Errno 13] Permission denied
(当然,python可执行文件本身可以设置为八进制模式711,但这不是我要保护的东西。)
那我该怎么办?
我考虑过的可能解决方案,但我认为不起作用:
(1)将整个Python程序翻译成C。
原则上可行,但不可行。即使对于这个简单的示例,也将意味着必须寻找requests库的等效项。
助手C程序实际上应该做什么?如果仅打印密码,则用户可以直接运行它来获取密码。如果它也获取网页(在此示例中),那么我们回到问题1。
(3)有一个启动python并将秘密数据传递给python的C程序:
-
通过命令行
-
(a)
- 可通过
ps或/proc/<pid>/cmdline进行检查
- 可通过
-
(b)通过环境
- 可通过
ps或/proc/<pid>/environ进行检查
- 可通过
-
(c)通过标准输入
-
(d)通过命名管道
- 用户可以争夺python进程从命名管道中读取的权限(如果他们首先在紧密循环中执行
killall -STOP python,那么在python进程挂起的情况下,赢得争夺从管道中读取的进程很简单命名管道)
- 用户可以争夺python进程从命名管道中读取的权限(如果他们首先在紧密循环中执行
实际上,我确实想到了另一件事-3c的改编-C程序派生并执行一个python进程,并向其发送(通过stdin)一个秘密,然后是来自其自己的stdin的数据。 python进程通过读取密码开始,然后可以从stdin中自由读取其他用户输入。但是所有这一切似乎开始变得笨拙(我们现在有一个额外的过程坐在那里,可以在python过程中从stdin复制数据),而且无论如何我都不知道如何编写这样的C程序。
我该怎么办?
解决方法
您能否不将Python代码用作解释脚本,而是将其编译为命令行可执行文件?它与您提出的第一个解决方案相似,但是在那种情况下,不需要将.py文件编译成.c文件,然后再将.c文件编译成可执行文件。您将.py文件直接编译为可执行文件。
,您可以使用以下技术将整个Python应用程序作为源嵌入到C二进制文件中:
https://www.codeproject.com/articles/820116/embedding-python-program-in-a-c-cplusplus-code
这有多实际,取决于Python应用程序的复杂性。一些链接器(例如gcc)可让您将完整的文件嵌入二进制文件中,以便将其加载到指定地址的内存中。然后,您可以将该地址传递给Python运行时。这比将整个Python代码转换为C字符串或base64丑陋。但是,并非所有链接器都允许这种技巧。
这些技术将使您使二进制文件不可读,但它们不会阻止有人将调试器附加到正在运行的二进制文件并在内存中四处逛逛。但这对于本机C应用程序也是如此。如果您需要保护您免受任何语言的威胁,则需要对机密数据进行适当的加密,并确保在调用API等之后刻录所有内存内容。琐碎的事情,您必须权衡安全风险与管理它所涉及的工作量。