如何允许脚本执行但不可读？

如何解决如何允许脚本执行但不可读？

这个问题是如何拥有其他（非root）用户可以运行但无法检查的python脚本。

用例示例：

#!/usr/bin/env python
import requests
params = { 'user':'fred','password':'123' }
url = 'https://.......'
print(requests.get(url,params).content)

在此示例中（但仅是示例），我希望用户运行脚本以获取已获取的Web内容，但看不到用于获取该内容的凭据。

设置执行许可权但不设置读取许可权不会获得与已编译可执行文件相同的结果。这是一个“ hello world”示例。

在C中：

$ cat test.c
#include <stdio.h>
int main() {
    puts("secret message");
    return 0;
}

$ gcc -o secret test.c

$ chmod 711 secret

$ sudo -u nobody ./secret
secret message

$ sudo -u nobody strings ./secret
strings: ./secret: Permission denied

在Python中：

$ cat test.py
#!/usr/bin/python
print("secret message")

$ chmod 711 test.py

$ sudo -u nobody ./test.py
/usr/bin/python: can't open file './test.py': [Errno 13] Permission denied

（当然，python可执行文件本身可以设置为八进制模式711，但这不是我要保护的东西。）

那我该怎么办？

我考虑过的可能解决方案，但我认为不起作用：

（1）将整个Python程序翻译成C。

原则上可行，但不可行。即使对于这个简单的示例，也将意味着必须寻找requests库的等效项。

（2）拥有一个由Python调用的辅助C程序。

助手C程序实际上应该做什么？如果仅打印密码，则用户可以直接运行它来获取密码。如果它也获取网页（在此示例中），那么我们回到问题1。

（3）有一个启动python并将秘密数据传递给python的C程序：

通过命令行

• （a）

  • 可通过ps或/proc/<pid>/cmdline
  进行检查

• （b）通过环境

  • 可通过ps或/proc/<pid>/environ
  进行检查

• （c）通过标准输入

  • 禁止在python脚本中将标准输入用于其他目的，例如用户输入

• （d）通过命名管道

  • 用户可以争夺python进程从命名管道中读取的权限（如果他们首先在紧密循环中执行killall -STOP python，那么在python进程挂起的情况下，赢得争夺从管道中读取的进程很简单命名管道）

实际上，我确实想到了另一件事-3c的改编-C程序派生并执行一个python进程，并向其发送（通过stdin）一个秘密，然后是来自其自己的stdin的数据。 python进程通过读取密码开始，然后可以从stdin中自由读取其他用户输入。但是所有这一切似乎开始变得笨拙（我们现在有一个额外的过程坐在那里，可以在python过程中从stdin复制数据），而且无论如何我都不知道如何编写这样的C程序。

我该怎么办？

解决方法

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。