在非根用户帐户下运行守护进程是一个好做法吗？

Question

我开发了一个应用程序，它使用NTP来改变网络时间，同步我的两台计算机。它以root的形式运行，因为只允许后者在Linux上更改时间和日期(我猜)。

现在，我想以用户的身份运行它。但是，我需要访问时间。

• 在非根用户帐户下运行守护进程是一个好做法吗？
• 我是否应该为我的应用程序提供像CAP_SYS_TIME这样的功能？
• 它不是引入了安全漏洞吗？
• 有更好的办法吗？

Answer 1

在非根用户帐户下运行守护进程是一个好做法吗？

是的，这很常见。例如，Apache从root开始，然后将新进程分叉为www-data (默认情况下)。

如前所述，如果您的程序被黑客攻击(例如:代码注入)，攻击者将不会获得根用户访问权，但将仅限于您授予该特定用户的权限。

我应该给一个“能力”，如"CAP_SYS_TIME“吗？

这是一个好主意，因为您避免使用setuid，并将权限限制在这个非常特定的功能上。

我是否应该以另一种方式这样做，这将被视为“良好做法”？

例如，您可以增加安全性：

• 以非特权用户的身份运行服务，不带shell。
• 使用chroot将用户锁定在其主目录中。

Answer 2

• 我是否应该以另一种方式这样做，这将被视为“良好做法”？

除非您有强有力的、无可辩驳的理由，否则，您应该只使用随GNU/Linux发行版附带的NTP包。标准的NTP守护进程需要数年的时间才能成熟，并具有复杂的功能，例如减慢或加速系统时钟，使其与网络或GPS时钟同步。它是为同步时钟而量身定做的，因此它很可能是达到这个目的的最佳工具。

ntpd仍在维护，从最近的更新来看 (撰写本文之时)。如果你需要更多的功能，我建议你直接联系开发人员，相信他们会说些什么。

Answer 3

如果您有一个程序需要能够执行函数X(例如，操纵时钟)，并且您可以赋予它执行函数X的特权/权力，而没有其他任何东西，这比给它一整罐字母表汤更好。这就是所谓的“最小特权原则. 考虑”，如果您的程序有错误--要么是普通的编程错误，要么是可利用的安全漏洞。如果它以“根”的形式运行，它可以删除每个人的文件，或者发送给攻击者，如果程序唯一能做的事情就是操纵时钟(以及非特权函数，比如在一个锁定的目录中操作文件)，那么如果程序变成流氓，那将是最糟糕的。