在 PAM 模块（.so 文件）的 C 中嵌入 Python 脚本时出现 ImportError 和 PyExc_SystemError

我正在尝试用 C 编写一个演示 PAM 模块，它使用 C 概念中的嵌入 Python 来运行用 python (2.7) 编写的脚本，在 pam_sm_authenticate() 函数内，该函数是用 C 文件 (pam_auth.c) 编写的。

这是Python脚本：test.py

import math
import numpy
def test_func():
   a = "test"
   return a 

test.py的路径是/usr/lib/Python2.7/，这样我就可以轻松导入它。

这是 C 文件：

#define PAM_SM_AUTH
#define PAM_SM_ACCOUNT
#define PAM_SM_SESSION

#include <security/pam_modules.h>
#include <security/_pam_macros.h>
#include <security/pam_appl.h>
#include<python2.7/Python.h>
#include<stdio.h>
#include<stdlib.h>
#include<string.h>

#define NOBODY "nobody"


/*PAM Stuffs*/

PAM_EXTERN int pam_sm_authenticate(
  pam_handle_t* pamh, int flags, int argc, const char** argv)
{
    const char *user;
    int retval;
    user = NULL;
    retval = pam_get_user(pamh, &user, NULL);
    if(retval != PAM_SUCCESS)
    {
        fprintf(stderr, "%s", pam_strerror(pamh, retval));
//      return (retval);
    }
    fprintf(stdout, "retval= %d user=%s\n", retval,user);
    if (user == NULL || *user =='\0')
        pam_set_item(pamh, PAM_USER, (const char*)NOBODY);

    /* Python Wrapper */    

    // Set PYTHONPATH TO working directory
    //int res = setenv("PYTHONPATH",".",1);
    //fprintf(stdout, "%d", res);

    PyObject *pName, *pModule, *pDict, *pFunc, *pValue, *pResult;

    // Initialize the Python Interpreter
    Py_Initialize();

    // Build the name object
    pName = PyString_FromString((char*)"test");

    // Load the module object
    pModule = PyImport_Import(pName);

    // pDict is a borrowed reference 

    PyErr_Print();
    pDict = PyModule_GetDict(pModule);

    // pFunc is also a borrowed reference 
    pFunc = PyDict_GetItemString(pDict, (char*)"test_func");

    if (PyCallable_Check(pFunc))
    {
        pValue=NULL;
        PyErr_Print();
        pResult=PyObject_CallObject(pFunc,pValue);
        PyErr_Print();
    }else 
    {
           PyErr_Print();
    }
    printf("Result is %s\n",PyString_AsString(pResult));

    // Clean up
    Py_DECREF(pModule);
    Py_DECREF(pName);/* */

    // Finish the Python Interpreter
    Py_Finalize();      

    return PAM_SUCCESS;
}

PAM_EXTERN int pam_sm_setcred(
  pam_handle_t* pamh, int flags, int argc, const char** argv)
{
    return PAM_SUCCESS;
}

PAM_EXTERN int pam_sm_acct_mgmt(
  pam_handle_t* pamh, int flags, int argc, const char** argv)
{
    return PAM_SUCCESS;
}

PAM_EXTERN int pam_sm_open_session(
  pam_handle_t* pamh, int flags, int argc, const char** argv)
{
    return PAM_SUCCESS;
}

PAM_EXTERN int pam_sm_close_session(
  pam_handle_t* pamh, int flags, int argc, const char** argv)
{
    return PAM_SUCCESS;
}

PAM_EXTERN int pam_sm_chauthtok(
  pam_handle_t* pamh, int flags, int argc, const char** argv)
{
    return PAM_SUCCESS;
}

C 文件只是 pam_permit.c 的修改。使用 gcc ( gcc -shared -o pam_auth.so -fPIC pam_auth.c -I/usr/include/python2.7 -lpython2.7 ) 编译 C 文件以获得 .so 文件 (pam_auth.so) 并放入在文件夹 /lib/security/ 内

我更改了 /etc/pam.d 中“sudo”文件的 PAM 配置，如下所示：

#%PAM-1.0

auth       required   pam_env.so readenv=1 user_readenv=0
auth       required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
#@include common-auth #this line is commented to make it use my pam module
auth       required   pam_auth.so
@include common-account
@include common-session-noninteractive

每次我使用命令“sudo”时，“auth required pam_auth.so”行都会强制系统使用我的模块进行身份验证。 （对于前 sudo nautilus）

现在的问题是： C 文件中的这一行“ pModule = PyImport_Import(pName); ”给出了导入错误，由 PyErr_Print() 打印如下：

stitches@Andromida:~$ sudo nautilus
retval= 0 user=stitches
Traceback (most recent call last):
  File "/usr/lib/python2.7/subho_auth.py", line 8, in <module>
    import numpy
  File "/usr/lib/python2.7/dist-packages/numpy/__init__.py", line 153, in <module>
    from . import add_newdocs
  File "/usr/lib/python2.7/dist-packages/numpy/add_newdocs.py", line 13, in <module>
    from numpy.lib import add_newdoc
  File "/usr/lib/python2.7/dist-packages/numpy/lib/__init__.py", line 8, in <module>
    from .type_check import *
  File "/usr/lib/python2.7/dist-packages/numpy/lib/type_check.py", line 11, in <module>
    import numpy.core.numeric as _nx
  File "/usr/lib/python2.7/dist-packages/numpy/core/__init__.py", line 6, in <module>
    from . import multiarray
ImportError: /usr/lib/python2.7/dist-packages/numpy/core/multiarray.so: undefined symbol: PyExc_SystemError
Segmentation fault (core dumped)

据我所知，它无法导入 test.py 文件中指定的 numpy 库。如何解决ImportError & PyExc_SystemError这个问题？

如果我按如下方式运行，则 python 脚本将发挥作用：

#include <Python.h>
#include <stdlib.h>
#include <string.h>
int main()
{   
    // Set PYTHONPATH TO working directory
    //int res = setenv("PYTHONPATH",".",1);
    //fprintf(stdout, "%d", res);

    PyObject *pName, *pModule, *pDict, *pFunc, *pValue, *pResult;

    // Initialize the Python Interpreter
    Py_Initialize();

    // Build the name object
    pName = PyString_FromString((char*)"test");

    // Load the module object
    pModule = PyImport_Import(pName);

    // pDict is a borrowed reference 

    PyErr_Print();
    pDict = PyModule_GetDict(pModule);

    // pFunc is also a borrowed reference 
    pFunc = PyDict_GetItemString(pDict, (char*)"test_func");

    if (PyCallable_Check(pFunc))
    {
        pValue=NULL;
        PyErr_Print();
        pResult=PyObject_CallObject(pFunc,pValue);
        PyErr_Print();
    }else 
    {
           PyErr_Print();
    }
    printf("Result is %s\n",PyString_AsString(pResult));

    // Clean up
    Py_DECREF(pModule);
    Py_DECREF(pName);/* */

    // Finish the Python Interpreter
    Py_Finalize();      

    return 0;
}

如果它可以在一般的 python 嵌入示例下工作，为什么它不能在基于 PAM 的嵌入示例（使用 .so 文件）中工作？

PS：我出于特殊原因导入 numpy。不要问为什么我没有在 python 脚本的任何地方使用它，因为这只是我想要实现的目标的演示脚本。此外，导入数学不会给出任何导入错误。我也遇到 SciPY 导入错误。

PPS：Numpy 和 Scipy 软件包在 python 脚本中完美运行，并安装在 /usr/lib/python2.7/dist-packages/ 下。我使用的是ubuntu 14.04。

请帮忙！！！！

我不知道你问题的答案，但我想知道为什么它没有早点失败。主机应用程序不知道使用 libpython2.7.so.1 需要您的 PAM 模块，因此必须以某种方式动态加载该模块，否则 Py_Initialize() 调用将失败并出现相同的错误。

既然你说它不会失败，那么它必须被加载。但是，从您收到的错误中，我们可以推断出它包含的符号（例如PyExc_系统错误）对于随后加载的动态库不可见。这是使用加载库时的默认设置dlopen() (see RTLD_LOCAL in 男人 3 dlopen）。要覆盖它，您必须通过RTLD_GLOBAL to dlopen()。也许这就是你的问题。

关于您的代码的其他评论：

• 为每个 pm_sm_...() 调用调用 Py_Initialise() 将会非常昂贵，并且可能会让 python 模块感到惊讶。这意味着 python 模块在一次调用中积累的所有数据（例如语音或用户名）将在下一次调用时被丢弃。您最好加载 libpython2.7.so.1 并初始化 PAM 一次，然后使用 pam_set_data() 的清理函数在完成后卸载它。

• 在相关问题中，您的 PAM 模块无法在 Python 程序中使用，因为您总是调用Py_Initialise()（我假设匹配的调用Py_Finalize()).

• 如果你的程序没有在原来的地方跌倒，它就会在线路上跌倒printf("结果是 %s\n",PyString_AsString(pResult))因为pResult没有初始化。

• 我想您知道，您可以使用 Python 编写 PAM 模块的所有样板均由以下提供：pam-python- 无需 C。由于您显然是用 Python 编写 PAM 模块，因此您已经暴露于它产生的开销，但错过了它提供的功能，例如记录未捕获的 Python 异常。最重要的是，使用它意味着您可以完全避免使用 C。您的 PAM 模块将被加载到保护机器安全的程序中 - 例如登录、sudo 和 xdm/gdm3 等程序。避免 C 意味着还可以避免 C 程序可能存在的大量安全错误，而这些在 Python 中是不可能的——缓冲区溢出、未初始化的指针和访问已释放的内存。由于您在此处发布的 C 代码中存在这些错误之一，因此避免它听起来是个好主意。