systemd serviceから呼ぶシェルではsudoではなくsetprivを使う - 赤帽エンジニアブログ

Red Hatの森若です。 自分でsystemdのservice unitを作るときに、起動用のいくつかのコマンドを記述したシェルスクリプトを呼ぶ事は(理想的ではないですが)あるかと思います。 今回はこの場合に、sudoを利用するとまずい理由を説明して、かわりにsetprivを使うほうがよいという話です。 例題用のservice 実行してみる 別のcgroupだと何がまずいのか? 対策はsetprivコマンド 例題用のservice sudoによるまずい動作を確認するためのできるだけ単純な例として、hoge.service を用意します。 /opt/hoge/hoge.sh #!/bin/bash sudo -u moriwaka sleep 5000 /etc/systemd/system/hoge.service [Unit] Description=hoge [Service] Ty

[mrwk]

例はsudoの振舞いが都合が悪いことをみせるための最小限のものです

[ton-boo]

この例だとserviceの設定でやれば、と思うけど、シェルスクリプトの処理の一部でだけsudoしたいときとかは使い所があるかもしれないので覚えとく。ところでシェル警察の方からきました

[Fluss_kawa]

ん？rootで動く必要がないならserviceファイルのServiceセクションにUserとGroupで指定したほうが良くないかな。

[tengo1985]

知らなかったけどUser指定と何が違うんだろう。こっちはよく見るよね。

[xlc]

/etc/systemd/system/hoge.service で User を指定するのだから、systemctl 自体を sudo で呼び出すのが正しい使い方と思いますが。

[gfx]

お、まさにnon-root userで起動するためにsudo使っちゃってたな。直そう。

[W53SA]

setpriv知らなかったけどsysted unitならsystemdのservice設定で行けそうな気も？

[y-kawaz]

スクリプトの一部だけ一般ユーザ権限で実行したい時とかに使える感じかな。mkdir とか cp した結果を root 所有のファイルにしたくないとか。

[tmatsuu]

ほう。特権から権限を落とす場合はよさそうだが、特権を持たない状態で切り替えたい場合はやはりsudoなんかな。

[rin51]

セッションが systemd のものじゃなくなるから管理できなくなってしまうんだ

[dorapon2000]

“このようにsetprivを利用してUID, GIDを変更するとセッションを作成しないので、systemdによるサービス管理の仕組みと競合しません。”

[rryu]

起動プロセスはrootで実行する必要があるがサービス自体はサービス用のユーザーで実行したい場合にsoduすると別セッションになってsystemdの管理から外れてしまうと。

[ngyuki]

setuidgid みたいなやつ

[vesikukka]

なるほど

[indication]

一般ユーザーからの呼び出しでsetprivできるのか。なるほど

[zu2]

“sudoはセッションを作るのでまずいことがわかりました”

[fn7]

systemdを使うことがまだ少ないのでありがたい知見。

[buzztaiki]

なるほどなぁ。一時的に一般ユーザのプロセスでなにかしたい場合だろうから使うことは少なそうではあるけど。

[KoshianX]

なるほど、setpriv 知らなかったな。なんかデーモン作ることがあったらこれ参考にするか

[joker1007]

必要になるケースは割と限定的な気がするけど、setprivを覚えておくと役に立つことはあるかもしれない。

[Shinwiki]

根本的なとこでなんか。。。わざわざそれやる意味あるのかなコレ。後でもっかい見よう

[asataken]

しらなかった......

[udzura]

“sudoはセッションを作るのでまずい”

[ledsun]

なるほど

[wataken44]

知らなかった

[ma2saka]

setpriv知らなかった