NSTask, narzędzia linii poleceń i root

Question

Pracuję nad aplikacją, która musi używać dd (robię to za pomocą skryptu powłoki w pakiecie aplikacji, który zbiera parametry z samej aplikacji, wykonuje pewne kontrole, a następnie uruchamia dd).

Aby wykonać tę operację, muszę wywołać dd z rootem, a ja już sprawdziłem kilka rozwiązań na StackOverflow. Najprostszy w implementacji wydawał mi się ten jeden problem: mój NSTask wykonuje pewne złożone operacje odczytu/zapisu (nieobecne w STPrivilegedTask) i nie musi być wszystkie uprzywilejowane.

Więc napisałem małe narzędzie pomocnicze wc, które wywołuje mój skrypt z poprawnymi parametrami z mojej aplikacji. Rozwiązaniem, o którym myślałem, jest użycie STPrivilegedTask do SUID po uruchomieniu mojego małego pomocnika, więc mogę uruchomić go (a więc mój skrypt i dd) z rootem, a wkrótce po udanym uruchomieniu ustawię narzędzie pomocnicze na non SUID (i robię to samo, jeśli jakikolwiek błąd na wyjściu z aplikacji, uruchomieniu aplikacji itp., aby był bezpieczniejszy).

Zaimplementowałem go i działa całkiem nieźle, może nie jest idealny, ale myślę, że bycie w tym pakiecie i praca z narzędziem pomocnika w SUID-ie tylko na potrzeby wystrzału są wystarczająco bezpieczne.

Jakieś myśli?

Dzięki!

Answer 1

Można użyć piaskownicę dla uruchamiając nowy proces w NSTask

sandbox-exec -f <profile> <command> 
sandbox-exec -f my_profile.sb "/bin/dd -if=/dev/disks01 of=/dev/target" 

http://developer.apple.com/library/mac/#documentation/Darwin/Reference/ManPages/man1/sandbox-exec.1.html

Masz kilka przykładów profil tu

/usr/share/sandbox/ 

Trzeba dać wystarczająco dostępu do pracy, nie próbowałem ani nie sprawdzałem, czego wymaga dd, zacznę od czegoś takiego:

(version 1) 
(deny default) 
(debug deny) 
(import "system.sb") 
(allow file-read-data file-write-data file-ioctl     (regex #"^/dev/.*$")) 
(allow process-exec (literal "/usr/sbin/helper")) 

Aktualizacja: Warto wspomnieć, można użyć sandbox-exec command -p