我有 nginx 和 php 应用程序。我还在这台服务器上安装了 ansible 并复制了剧本。我想做的是通过 webapp 运行 ansible playbooks。我想知道如何以安全的方式进行。
Nginx 在用户 nginx 下运行,php-fpm 在 apache 下运行,ansible 有它自己的用户。PHP 应用程序位于 /var/www/html/ 中,而 ansible 剧本位于 /var/www/html/ansible 中,但这些目录对每个人都是可读的。
所以流程应该是这样的:
- 用户在网页上选择操作
- ajax 将其发送到 php
- php 准备 ansible 命令并运行 ansible playbook
- 可运行
- php 捕获 stdout&stderr 并将其作为 json 发送回网页
- ajax 将在网页上显示 stdout&stderr。
现在,在 php 脚本中,我计划执行('ansible-playbook site.yml -t ...')。这将作为 apache 用户执行。或者我应该在 ansible 的用户下使用 sudo 启动它吗?或者更好的是在nobody下启动nginx、php-fpm和ansible?
不知道什么是最好的。
谢谢你的意见。