从非根进程运行jailkit

Question

我有一个网络服务器，它会经常产生一个latex解释器(用python编写)。这个解释器位于使用jailkit创建的chroot监狱中，因此它必须以root身份启动。

我不希望服务器以root用户身份运行，并且我无法设置bash脚本的and。我可以写一个setuid c程序来调用这个脚本，但是我非常确定这会导致很大的安全漏洞。

到目前为止，我想出的最好的办法就是以root身份运行一个单独的job服务器，它的唯一工作就是生成解释器进程。

这样做的正确方法是什么？

Answer 1

最好的方法是创建一个非常小的脚本，它只需设置环境，调用latex解释器，并将该脚本设置为SUID根。

这是最好的，因为：

• 作为根用户所花费的时间最少
• 仅单个脚本需要SUID
• 小脚本==出错的机会更小
• 作为根用户使用非常安全，而运行整个web服务器则不然。