主页 / server / 问题 / 404105
Accepted
user1263746
Asked: 2012-07-03 05:43:13 +0800 CST

Apache sudoers 访问

  • 772

我正在从 php 进行系统调用,它是

`sudo /usr/bin/perl -pi -e 's/foo/bar/g' /tmp/newxml.xml`;

这在 php cli 中工作正常。但不会通过浏览器在 php 中工作,因为 apache 没有所需的执行权限。如何使 apache 成为 sudoer 以允许仅运行 /usr/bin/perl ?

我知道必须编辑 /etc/sudoers 才能执行此操作,但我不确定如何完成。任何指针?

我正在运行 RHEL 5.5

php redhat apache-2.2 sudo

4 个回答

  1. 从安全的角度来看,我不认为给 apache 用户 sudo 权限是明智的。您是否考虑过在组级别更改该文件的所有权,以便 apache 可以写入它而不需要 sudo?

    • 8
  2. Best Answer
    visudo

    添加

    nobody ALL=(ALL)NOPASSWD:/usr/bin/perl

    将 nobody 替换为您的 apache 用户。

    但你不应该那样做。授予 apache sudo 对 perl 的访问权实质上是让任何破坏您的 php 应用程序的人立即获得您的盒子的根。

    您应该检查 umask/tmp/newxml.xml并确保它可由您的 apache 用户写入。

    • 6

  3. 首先,您可以在 php 中执行相同的操作,而无需调用 perl。

    其次,当您运行 rhel 时,可能是 SELinux 妨碍了您。尝试运行 setroubleshooter,它会为您提供有关如何解决此问题的必要信息。

    第三:不要给 apache root,也不要给 sudoers 权限或类似的东西。

    • 1

  4. 最好将 apache 的访问权限限制为您需要运行的 Perl 命令,而不是整个 Perl,而不是 root。为此,围绕 Perl 创建一个包装器脚本。创建新用户或寻找合适的用户。在此示例中,用户是 bob:

    EDITOR=emacs                              #or other favorite editor
visudo -f /etc/sudoers.d/apache_foobar    #safe edit as root

    添加这一行,保存并退出编辑器:

    apache ALL=(bob) NOPASSWD: /the/path/myscript

    然后把它放在 /the/path/myscript

    #!/bin/bash
echo "Hello, I'm "`whoami`  #should see bob
/usr/bin/perl -pi -e 's/foo/bar/g' "$1"

    如果这是您必须操作的唯一文件,请替换"$1"为。/tmp/newxml.xml

    该脚本只需要对 bob 是可读+可执行的,而不是 apache 或其他人:

    chown bob:bobsgroup /the/path/myscript
chmod 500 /the/path/myscript

    现在用户 apache 应该能够在你的 php 中以用户 bob 的身份运行它:

    `sudo -u bob /the/path/myscript /tmp/newxml.xml`;

    如果 bob 是为此目的新创建的用户,您可能必须将 bob 添加到 /etc/shadow。(注意:SELinux 可能会导致此设置出现问题,但这也是可以解决的)

    • 1

相关问题