Como executo um processo que deseja se tornar root de um serviço do systemd que é um usuário comum?

Question

Como executo um processo que deseja se tornar root de um serviço do systemd que é um usuário comum?

#1 resposta do (8 votos)

6

Eu tenho um serviço que eu começo a usar o systemd. O usuário e o grupo de serviços são alterados para um usuário não privilegiado.

[Service]
...
User=regular_user
Group=regular_user
...

Em algum momento, o serviço precisa iniciar outro processo, que deve se tornar root. Esse outro processo tem seu bit 'set' e usa setuid() para se tornar root.

O processo funciona bem se eu iniciá-lo. No entanto, de alguma forma, quando o serviço tenta iniciá-lo, a função setuid() retorna com um erro:

Operation not permitted.

Eu já vi algumas opções sobre os recursos, mas não tenho idéia se isso é necessário para manter o recurso setuid() funcionando no meu serviço. Eu tentei algumas coisas e nenhuma ajudou até agora.

Por exemplo, tentei isso:

AmbientCapabilities=CAP_SETGID CAP_SETUID
SecureBits=keep-caps

E, embora o processo pareça não gerar mais um erro, ele ainda não faz o que deve fazer (novamente, se eu executar esse processo no meu console, ele funcionará bem!)

services systemd setuid capabilities

por Alexis Wilke 07.10.2016 / 02:05

1 resposta

Tags services systemd setuid capabilities

bashrc PS1: o prompt do usuário não limpa todo o texto [duplicado] Como um gerenciador de arquivos monta uma unidade sem raiz?

score 8 · Accepted Answer

Na verdade, encontrei a opção NoNewPrivileges = que permite aos meus filhos de processos para usar o setuid() .

Pelo que eles estão dizendo, certamente não é uma opção que se deve usar levemente. No entanto, o padrão é: não permitir o recurso setuid() . (o que eles querem dizer com «elevar privilégios» .)

O que funcionou para mim foi fazer isso:

NoNewPrivileges=false

Note que a documentação não diz claramente que o padrão para esta opção é verdadeiro no Ubuntu 16.04. Isso pode variar dependendo do sistema operacional.