有没有办法 chroot/sandbox 去 os.exec 调用（防止 rm -rf /）

Question

我想要test/automate一些存储库，基本流程是这样的：

repos := []string{"repo 1", "repo 2", ...}
for r := range repos {
    // git clone the repo 
    // cd repo dir
    // make test
    // make build
    // ...
}

我正在使用 GO 使用 os.exec 来调用所有系列命令，例如：

 exec.Command("sh", "-c", "git clone project")

到目前为止一切顺利，但我想知道是否有一种方法可以 secure/protect 防止 Makefile 上的某些错误写入，例如 rm -rf /。破坏我的主机。

基本上我想使用系统 libraries/tools 但 restrict/chroot 只输出到特定的 workdir，这样我就可以避免为此预先构建一个 chroot。

一个可行的解决方案是使用 FreeBSD jail，但我想知道是否有一种 alternative/secure 方法可以做到这一点而不需要容器、virtualbox 等；并使用基本的 Mac OS X 工作站。这样任何人都可以 "safely" 运行和无后顾之忧地进行测试。

有什么想法吗？

Answer 1

你应该可以使用 os.Setuid/os.Setgid (example.go):

package main

import (
    "log"
    "flag"
    "os"
    "os/exec"
    "syscall"
)

func main() {
    var oUid = flag.Int("uid", 0, "Run with User ID")
    var oGid = flag.Int("gid", 0, "Run with Group ID")
    flag.Parse()

    // Get UID/GUID from args
    var uid = *oUid
    var gid = *oGid

    // Run whoami
    out, err := exec.Command("whoami").Output()
    if err != nil {
        log.Fatal(err)
        return
    }

    // Output whoami
    log.Println("Original UID/GID whoami:", string(out))
    log.Println("Setting UID/GUID")

    // Change privileges
    err = syscall.Setgid(gid)
    if err != nil {
        log.Println("Cannot setgid")
        log.Fatal(err)
        return
    }

    err = syscall.Setuid(uid)
    if err != nil {
        log.Println("Cannot setuid")
        log.Fatal(err)
        return
    }

    // Execute whoami again
    out, err = exec.Command("whoami").Output()
    if err != nil {
        log.Fatal(err)
        return
    }
    log.Println("Changed UID/GID whoami:", string(out))


    // Do some dangerous stuff
    log.Println("Creating a executable file within /bin should fail...")
    _, err = os.Create("/bin/should-fail")
    if err == nil {
        log.Println("Warning: operation did not fail")
        return
    }

    log.Println("We are fine", err)
}

我还建议阅读有关正确设置 gid/uid 的内容（https://unix.stackexchange.com/questions/166817/using-the-setuid-bit-properly，在 C 中）。哦！它需要在 uid 之前设置 gid，因为如果不这样做，示例将失败。

您应该以 root 权限执行 example.go，并分别使用标志 -gid、-uid 为命令指定无权限 gid/uid。

sudo go run example.go -uid <unprivileged id> -gid <unprivileged id>

有没有办法 chroot/sandbox 去 os.exec 调用（防止 rm -rf /）

Is there a way to chroot/sandbox a go os.exec call (prevent rm -rf /)

macos

chroot

go