Início / unix / Perguntas / 455084
Accepted
Stewart
Asked: 2018-07-14 02:37:22 +0800 CST

Dando privilégios de agendamento aos usuários

  • 772

Eu tenho algum código que usa sched_setschedulerfromsched.h

sched_param sched;
sched.sched_priority = 70;
sched_setscheduler(getpid(), SCHED_FIFO, &sched);

No entanto, essa função falhará, a menos que eu execute o aplicativo com o sudo. Prefiro não executar o aplicativo com rootprivilégios.

Existe uma maneira de conceder a um usuário ou processo acesso a essa função sem conceder permissões de root completas?

-- Editar --

derobert deu uma ótima resposta sobre o uso de recursos. Em postinst, eu simplesmente adiciono:

setcap cap_sys_nice+ep /path/to/myapp

O problema aqui é:

bin$ ./myapp
./myapp error while loading shared libraries: libmylib.so: cannot open shared object file: No such file or directory

O programa perde a capacidade de carregar dinamicamente bibliotecas de $LD_LIBRARY_PATHou (no meu caso) outras bibliotecas apontadas por rpath. Este parece ser um comportamento pretendido . Existe uma maneira de contornar isso?

Eu tentei setcap cap_setpcap+ep myappusar prctl(PR_CAPBSET_DROP, CAP_SETPCAP);antes de fazer qualquer carregamento dinâmico, mas isso não parece ajudar.

scheduling privileges

2 respostas

  1. Alterar seu agendador e prioridade deve precisar apenas da CAP_SYS_NICEcapacidade; veja os privilégios e limites de recursos do sched(7) . Você provavelmente também vai querer ver a página de manual para sched_setscheduler, que menciona sched(7).

    Existem algumas maneiras de fornecer essa capacidade ao seu programa; o mais fácil é provavelmente setcap :

    # setcap cap_sys_nice=ep /usr/local/bin/your-program

    Isso funciona de maneira semelhante ao set-user-id, mas é muito mais limitado (já que fornece apenas um recurso). Claro, CAP_SYS_NICE efetivamente dá ao programa permissão para travar o sistema (comendo todo o tempo da CPU com tarefas em tempo real).

    Outras maneiras incluem usar um wrapper run-as-root (que elimina todas as outras permissões) ou elevação usando, por exemplo, RealtimeKit/PolicyKit.

    (Para mais informações sobre capacidades, sugiro começar com capacidades(7) ).

    • 2
  2. Best Answer

    Eu tenho uma solução, embora seja um pouco estranha e exponha um buraco no sistema operacional.

    Durante postinst, eu:

    cp $(which chrt) bin/chrt
setcap cap_sys_nice+ep bin/chrt

    Então, no código, eu inicio um processo com:

    bin/chrt -o -p 70 getpid()

    O buraco que acabamos de expor é que qualquer pessoa que use esta versão chrtpode fazê-lo sem privilégios de administrador. Como estou executando este é um ambiente de destino muito controlado, estou bem com esse buraco, mas não o recomendaria quem não tem controle sobre seu ambiente de destino.

    • 0

relate perguntas