Добавление повышенных разрешений для скриптов в каталоге

Question

Добавление повышенных разрешений для скриптов в каталоге

259

Sam Hastings 2018-03-09 в 14:33

У меня есть каталог, содержащий некоторые сценарии, которые мне нужно вызвать из веб-запроса. Сценарии требуют повышенных разрешений для запуска.

В настоящее время я думаю добавить следующие строки /etc/sudoers:

Cmnd_Alias WEB_COMMANDS = /path/to/scripts www-data ALL=(ALL) NOPASSWD: WEB_COMMANDS

Это правильный подход к этой проблеме? Или я вызываю потенциальную уязвимость безопасности?

Использование CentOS 7, если это что-то меняет.

2

1 ответ на вопрос

0

Accepted Answer · 2018-03-09 14:43:51

Все является потенциальной уязвимостью безопасности. Две вещи:

Прежде всего, вы уверены, что для этого нужен root? Зачем? Можете ли вы сделать это с возможностями вместо этого? (Вы, вероятно, можете.)

Тем не менее, ваш пример почти точный. Добавьте звездочку после пути:

Cmnd_Alias WEB_COMMANDS = /path/to/scripts/*

И теперь это будет работать. Но будьте осторожны, если какой-либо из этих сценариев может быть изменен злоумышленником, злоумышленник получает полный доступ к корню . Они могут просто exec('/bin/bash')и иметь оболочку. Определенно пройдите маршрут возможностей для сценария, если это возможно, и ОБЯЗАТЕЛЬНО заблокируйте каталог сценариев в любом случае. Посмотрите этот ответ unix.se для получения информации об управлении возможностями с помощью сценариев.

Добавление повышенных разрешений для скриптов в каталоге

1 ответ на вопрос

Похожие вопросы