Spring Boot — проблема с безопасностью исполняемых jar файлов запускаемых как init.d сервис

[sergey-b]

Мне кажется, что проще использовать возможности binfmt и запускать jar-ы как обычные исполняемые файлы.

[grossws]

Вспомнилось, как сломав pam использовали «уязвимость» во внутреннем сервисе (доступ был только через vpn), который умел «читать» конфиги на jruby и был запущен с правами рута.

[grossws]

Откуда? В <some-service>.service пишите:

[Unit]
Description=Some java service

[Service]
StartExec=/usr/bin/java -jar some-service.jar --param1 val1 ....
User=some-user

[Borz]

в скриптах в init.d можно через start-stop-daemon указывать под кем запускаться.

[grossws]

Да, когда он есть. Но в дистрибутивах с systemd полностью отпала необходимость этого геморроя, к счастью.

[ivnik]

Да, это вариант, но не всем нравится systemd.

[ivnik]

Да, там это уже сделано. Проблема в том, что владелец скрипта (скрипт это и есть jar-файл) пользователь, а скрипт запускается с привилегиями root.

      start-stop-daemon --start --quiet \
        --chuid "$run_user" \

А run_user определяется по владельцу jar-файла:

[[ $(id -u) == "0" ]] && run_user=$(ls -ld "$jarfile" | awk '{print $3}')