如何使用root以外的使用者去執行service?

如果一個擁有root權限的App被攻破了，駭客就能為所欲為，對系統造成的危害肯定不小。所以怎麼樣的應用程式，就應該給予對應的存取權限，而不能因為方便直接給予最大權限。接下來就看看我Study結果吧!

(本篇文章主要不是在教大家如何讓process變為service，而是著重於用怎樣的使用者去執行service的process)

如果沒有特殊需求，只需要透過以下指令就可以完成:

# 新增群組
groupadd -r TonyApp
# 新增系統使用者
useradd -r -d /opt/TonyApp -s /bin/bash -g TonyApp TonyApp
# 將使用者設為daemon
gpasswd -a TonyApp daemon

設定App目錄擁有者，原本如果是root，App可能會完全無法動:

chown -R TonyApp:TonyApp /opt/TonyApp

強制移除root權限帳號:

userdel -r -f TonyApp

由於我的App會存取到硬體相關指令或裝置，如fdisk、/dev/mem，因此我必須給與對應的權限。我可以直接透過以下指令確認是否能執行:

# 轉換使用者
su TonyApp
# 測試指令
dmidecode
fdisk /dev/sda

在賦與權限前，必然是不可行的。因此有以下幾個做法:

可以從/etc/group中得知有哪些對應的群組，也可以看這篇文章。如果要給予存取disk權限可以使用:

gpasswd -a TonyApp disk

直接指定root並不代表它真的擁有存取所有東西的權限，最好也是根據你要什麼就設定什麼。測試到目前，就屬/dev/mem沒轍，因此才有其它的試驗。

useradd -r -d /opt/TonyApp -s /bin/bash -ou 0 -g root TonyApp

如果使用ps aux去查service的process，會發現執行者是root。

如修改密碼的passwd一般，認何人都可以透過root權限去執行它。可以透過以下方是去做設定:

chown 0:0 myprocess
chmod +s myprocess

然而，如果將這個方法設定到java程式上，可能就會遇到找不到libjli.so的問題。可以參考此篇去設定ld config，就能解決問題。這方法與指定uid為0一樣，都是以root去執行process。

只要編輯/etc/sudoers，將使用者如下方方式加進去，就能透過sudo指令去執行你想要的東西:

TonyApp    ALL=(ALL)       ALL

如果要略過輸入密碼，可以這樣設定:

TonyApp    ALL=(ALL) NOPASSWD: ALL

NOPASSWD後面最好可以根據你要執行的指令設定，以減少安全上的問題，如:

TonyApp   ALL=(ALL) NOPASSWD: /usr/sbin/dmidecode

我個人是比較偏好將帳號設定對應的System Group，但由於我們軟體要存取mem的關係，這方法無法滿足我需求。指定uid為0與setuid的方式，其實都是以root去啟動process了，似乎也失去了初衷。因此，本次Study就純粹當學習，之後有時間再看看有沒有其它方法。

• why-service-accounts-in-linux-and-unix-systems?
• give-normal-user-root-privileges
• SystemGroups
• setuid
• 使用setuid後，libjli.so找不到的解決方法
• execute-sudo-without-password

---