Eseguire comandi come root da php

[PaoDJ]

Ciao a tutti,

mi sto costruendo un piccolo pannello per la gestione di apache. Non conoscendo bene il perl, lo sto scrivendo in php.

Sapete dirmi se esiste un modo per far eseguire dei comandi come root (es. riavvio del servizio apache) da php?

Esiste la exec() ma esegue con i permessi di apache (o con i permessi dell'utente che sta eseguendo lo script via terminale).

L'unica soluzione che mi è venuta in mente è quella di far partire un altro demone di apache che si esegua come root su una porta differente dall'80. Questo solo per eseguire il pannello, ma è affidabile far girare l'apache come root?

Grazie in anticipo

[adarkar]

non credo
piuttosto non si può magari fargli eseguire qualche comando tipo su a cui passare la password?
e magari invece che a root fagli eseguire comandi da un utente del gruppo root ma non root, sempre per la sicurezza

[PaoDJ]

I comandi principali sarebbero:

- editing del config di apache/php/bind e questo si può fare come un user del gruppo root
- riavvio dei servizi apache, bind e per questo non saprei minimamente come fare.

Consigli?

Una domanda: se apache gira come un utente del gruppo root, non è comunque pericoloso?

[KornShell]

devi fare una cosa del tipo webmin, il tuo programma deve girare da root, i comendi li lanci da li.
Ovviamente anche nel far girare il tuo programma da root ci son oimplicazioni di sicurezza.
far girare apache come root non va bene assolutamente!

[/dev/null]

Potresti usare sudo, oppure, se e' solo per modificare qualche file potresti dare il permesso di scrittura all'utente "apache" per quel file....
La sicurezza diminuisce un po' per cio' che riguarda quei files o quei comandi, ma per tutto il resto non dovrebbe variare molto...

[PaoDJ]

Originariamente inviato da /dev/null
Potresti usare sudo, oppure, se e' solo per modificare qualche file potresti dare il permesso di scrittura all'utente "apache" per quel file....
La sicurezza diminuisce un po' per cio' che riguarda quei files o quei comandi, ma per tutto il resto non dovrebbe variare molto...

Sudo sembra ottimo. Faccio girare un'altro apache come un'altro utente e gli do i permessi.

Qualche guida su sudo?

[Enrico81]

Originariamente inviato da PaoDJ
Sudo sembra ottimo. Faccio girare un'altro apache come un'altro utente e gli do i permessi.

Qualche guida su sudo?

http://www.openskills.info/view/boxd...pe=description

http://www.gentoo.it/doc/sudo.html

http://www.volalibero.it/sudo_un_esempio.html

http://www.slack.z00.it/slack/docs/pillola_sudo.html

http://spazioinwind.libero.it/stefko5/Tips/tip3-it.html

[Ikitt]

Originariamente inviato da PaoDJ

mi sto costruendo un piccolo pannello per la gestione di apache. Non conoscendo bene il perl, lo sto scrivendo in php.
Sapete dirmi se esiste un modo per far eseguire dei comandi come root (es. riavvio del servizio apache) da php?

La prima cosa che mi viene in mente e` farti dei piccoli helper (programmi o script che fanno SOLO quello di cui hai bisogno), quindi configurare sudo affinche` l'utente con i quali privilegi gira il web daemon possa eseguirli senza password, ma possa eseguire solo quelli!

Certo nel caso di operazioni complesse (es: modifica della configurazione) la cosa si complica, ma la soluzione nel suo complesso dovrebbe rimanere abbastanza sicura (spero )

[PaoDJ]

Originariamente inviato da Ikitt
La prima cosa che mi viene in mente e` farti dei piccoli helper (programmi o script che fanno SOLO quello di cui hai bisogno), quindi configurare sudo affinche` l'utente con i quali privilegi gira il web daemon possa eseguirli senza password, ma possa eseguire solo quelli!

Certo nel caso di operazioni complesse (es: modifica della configurazione) la cosa si complica, ma la soluzione nel suo complesso dovrebbe rimanere abbastanza sicura (spero )

Credo che farò cosi. Uno script per fermare apache, uno per farlo partire ecc.
Le configurazioni non sono un grave problema.
Se dovessero sparire il sistema le ripristina automaticamente.

[PaoDJ]

Per provare ieri ho fatto questa configurazione di sudo:

codice:

# User privilege specification
root    ALL=(ALL) ALL

apache_manager localhost=NOPASSWD: /sbin/service

Con questo speravo di permettere all'utente apache_manager (membro del gruppo apache_manager) di poter eseguire il comando service.

Facendo il login come apache_manager (ho settato la pass a 1234) e facendo "sudo service XXX restart" mi richiede una password, metto 1234 e mi dice: "apache_manager is not allowed to run sudo on server. This incident will be reported."

Dove sbaglio?