Как при коннекте по 127.0.0.1 проверить юзера на том конце сокета?

0

1

Сабж. Вот у меня есть на сервере сокет (из модуля socket):

s = socket.socket( socket.AF_INET, socket.SOCK_STREAM )
s.setsockopt( socket.SOL_SOCKET, socket.SO_REUSEADDR, 1 )
s.bind(('127.0.0.1',port))
s.listen(5)

conn, addr = s.accept()

Вот у меня поднялся коннект. Возможно ли узнать, от какого пользователя запущен процесс на том конце, если с этого конца сидит не root? Я могу при помощи lsof проверить не сидит ли на том конце тот же пользователь что и на этом, и если с этой стороны root могу удостоверится что с той стороны тот кто нужен.

if os.popen( 'lsof -a -u %i -i :%i | grep ":%i->"'%( uid, port, conn.getpeername()[1] ) ).readline() : ... # это правильный чувак
else: ... # отвали!

Но во первых решение через lsof выглядит криво, во вторых как быть если не от рута идет работа? И насколько такие проверки вообще надежны (сейчас скорее речь идет о защите от дурака а не от злоумышленника, но все же...)?

Ссылка

← Как сделать такой запрос с помощью DjangoORM?

Строковое представление класса →

AF_UNIX

vasily_pupkin ★★★★★
(11.11.12 22:08:14 MSK)

Ссылка

точно сказал Вяся Пупки! использовать сетевые сокеты — нужно только по сети! :-)

а для внутреннего общения — есть масса другие вещей..

кроме AF_UNIX — есть например и dBus ...

(хотя один фиг — dBus работает через AF_UNIX :D))

user_id_68054 ★★★★★
(12.11.12 01:58:13 MSK)

Ответ на: комментарий от user_id_68054 12.11.12 01:58:13 MSK

Спасибо за ценное замечание. Но - как для AF_UNIX узнать пользователя на том конце сокета? Потому что lsof опять таки его не видит, не хватает прав?

~~AIv~~ ★★★★★
(12.11.12 09:21:46 MSK) автор топика

Ответ на: комментарий от AIv 12.11.12 09:21:46 MSK

Да, lsof не может залезть в чужой /proc/PID/...
Но совет, видимо, был к тому, что на unix-сокет можно выставить права и поменять группу.

ABW ★★★★★
(12.11.12 09:40:03 MSK)

Ответ на: комментарий от ABW 12.11.12 09:40:03 MSK

У меня есть демон, в котором отмечаются некоторые фенечки - юзер отметку поставил и только этот же юзер может эту отметку снять. Это можно реализовать через один сокет?

В идеале - права на снятие отметки имеет только тот же процесс, который отметку поставил;-)

~~AIv~~ ★★★★★
(12.11.12 09:45:49 MSK) автор топика
Последнее исправление: AIv 12.11.12 09:47:13 MSK (всего исправлений: 1)

Ответ на: комментарий от AIv 12.11.12 09:45:49 MSK

не пойму смысла использовать транспортный уровень для определения прав пользователя. чем вам не угодил тот же XML-RPC?

~~AGUtilities~~ ★★★
(12.11.12 09:48:37 MSK)

Ответ на: комментарий от AGUtilities 12.11.12 09:48:37 MSK

Во первых я в сетевых вопросах полный нуб. Во вторых, тут чем проще будет, тем лучше.

~~AIv~~ ★★★★★
(12.11.12 09:59:05 MSK) автор топика

Ответ на: комментарий от AIv 12.11.12 09:59:05 MSK

поверь мне, лучше не нужно лепить аутентификацию на транспортном уровне.

~~AGUtilities~~ ★★★
(12.11.12 10:11:19 MSK)

Ссылка

Ответ на: комментарий от AIv 12.11.12 09:45:49 MSK

С ходу ничего простого/общесистемного в голову не приходит.
Если задача допускает доверие, в том смысле что если пользователь имеет право писать в сокет, то имеет право ставить отметку, то можно просто в запросе на установку заставить его указывать свой ID и в запросе на снятие верить указавшему этот ID на слово.

ABW ★★★★★
(12.11.12 11:31:32 MSK)

Ответ на: комментарий от ABW 12.11.12 11:31:32 MSK

Да, я примерно тоже так в итоге подумал... на самом деле там две задачи - снятие отметки (можно даже не ID а какое нить случайное число использовать), и остановка демона.

Вот с остановкой демона жутко не хотелось связываться pid-файлом...

~~AIv~~ ★★★★★
(12.11.12 11:51:54 MSK) автор топика

Ссылка

identd

~~nanoolinux~~ ★★★★
(12.11.12 11:57:20 MSK)

Ответ на: комментарий от nanoolinux 12.11.12 11:57:20 MSK

Ни на одной из наших машин эта фиговина похоже не развернута, так что не вариант - лишняя зависимость как мин.

~~AIv~~ ★★★★★
(12.11.12 12:04:51 MSK) автор топика

Ссылка

Ответ на: комментарий от AIv 12.11.12 09:21:46 MSK

Но - как для AF_UNIX узнать пользователя на том конце сокета?

man 7 unix же. Насколько я понимаю, ты хочешь SO_PASSCRED.

tailgunner ★★★★★
(12.11.12 12:12:08 MSK)

Ответ на: комментарий от AIv 12.11.12 09:21:46 MSK

не знаю как в питонах а в хацкелях есть Network.Socket.getPeerCred

на сях:

http://opensource.apple.com/source/OpenLDAP/OpenLDAP-143.4/OpenLDAP/contrib/s...

qnikst ★★★★★
(12.11.12 12:18:31 MSK)

Ссылка

Ответ на: комментарий от tailgunner 12.11.12 12:12:08 MSK

А можно подробнее, что мне с этим делать? Ну то есть флаг то я поставлю, а дальше... ;-(

~~AIv~~ ★★★★★
(12.11.12 12:24:06 MSK) автор топика

Ответ на: комментарий от AIv 12.11.12 12:24:06 MSK

А можно подробнее, что мне с этим делать?

Как уже сказано постом выше:

#if defined(SO_PEERCRED)
  socklen_t l;
  struct ucred cred;
  /* initialize client information (in case getsockopt() breaks) */
  cred.pid=(pid_t)0;
  cred.uid=(uid_t)-1;
  cred.gid=(gid_t)-1;
  /* look up process information from peer */
  l=(socklen_t)sizeof(struct ucred);
  if (getsockopt(sock,SOL_SOCKET,SO_PEERCRED,&cred,&l) < 0)
    return -1; /* errno already set */
  /* return the data */
  if (uid!=NULL) *uid=cred.uid;
  if (gid!=NULL) *gid=cred.gid;
  if (pid!=NULL) *pid=cred.pid;
  return 0;

Втупую переведи это на Python через socket и struct.

tailgunner ★★★★★
(12.11.12 14:59:03 MSK)
Последнее исправление: tailgunner 12.11.12 14:59:29 MSK (всего исправлений: 1)