OpenForum RSS: Запуск bash скрипта от имени пользователя https://www.opennet.me/openforum/vsluhforumID9/8169.html Имеется сервер где все процессы apache&php запускаются от nobody.<br><br>Я написал php скрипт, который получает параметры и передаёт запрос на bash скрипт.<br>Bash скрипт выполняет действия на фаерволле, но работать он будет только если пользователю nobody дать права на доступ к фаерволлу, а поскольку на сервере есть и другие пользователи это делать будет небезопасно...<br><br>Есть ли какой-то способ заставить работать bash скрипт от имени конкретного пользователя, так чтобы это было безопасно?<br><br>Спасибо.<br> Запуск bash скрипта от имени пользователя (Andrey Mitrofanov) https://www.opennet.me/openforum/vsluhforumID9/8169.html#14 Wed, 20 May 2009 07:38:49 GMT &gt;Подскажите, пожалуйста, как в команде sudo или su задавать параметром (или <br><br>Дать в sudoers право пользователю www-data (или подкем там у Вас веб-сервер) право sudo-итить тот скрипт под тем другим пользователем _без_пароля_. Ага-да?...<br><br>...и именно этот там наверху--^^^ написано.<br>---http://google.ru/search?q=sudoers+site%3Aopennet.ru<br><br> Запуск bash скрипта от имени пользователя (аноним) https://www.opennet.me/openforum/vsluhforumID9/8169.html#13 Tue, 19 May 2009 17:10:30 GMT &gt;Здравствуйте. Столкнулся с похожей проблемой. <br>&gt;Нужно автоматизировать запуск системного скрипта из веб-формы, с использованием определенного локального пользователя. <br>&gt;Подскажите, пожалуйста, как в команде sudo или su задавать параметром (или <br>&gt;еще какмм способом) пароль этого самого пользователя? <br><br>Никак, если пароль в коммандрой строке или в окружении - это не пароль уже, потому что виден вообще ВСЕМ. Есть опция для чтения пароля с stdin, но пароль придется хранить в скрипте и его опять таки прочитает кто угодно. В общем, подумайте головой, прочитайте sudoers и разрешите только то, что надо.<br> Запуск bash скрипта от имени пользователя (scyphius) https://www.opennet.me/openforum/vsluhforumID9/8169.html#12 Tue, 19 May 2009 10:13:44 GMT Здравствуйте. Столкнулся с похожей проблемой.<br>Нужно автоматизировать запуск системного скрипта из веб-формы, с использованием определенного локального пользователя. Подскажите, пожалуйста, как в команде sudo или su задавать параметром (или еще какмм способом) пароль этого самого пользователя? <br> Запуск bash скрипта от имени пользователя (angra) https://www.opennet.me/openforum/vsluhforumID9/8169.html#11 Tue, 24 Mar 2009 07:04:20 GMT &gt;Да, в вашем случае так и будет. Вы правы. <br><br>Полный песец. В sudoers даем разрешение на запуск ОДНОГО скрипта. Ну и что будут делать все остальные пользователи с этим?<br>Разумеется при этом возникают другие вопросы типа аутентификации в скрипте, разделение области видимости пользователей, прав на сам скрипт и вышестоящие директории. Но все эти вопросы не имеют отношения к sudo.<br> Запуск bash скрипта от имени пользователя (phpcoder) https://www.opennet.me/openforum/vsluhforumID9/8169.html#10 Tue, 24 Mar 2009 06:56:38 GMT &gt;Вы меня не поняли. Когда я говорил ВСЕ я подразумевал что php&bash <br>&gt;скрипты запускаются от nobody. Любой пользователь на сервере может написать php <br>&gt;скрипт, поскольку скрипт выполняется от nobody у него будут права на <br>&gt;выполнение команды без пароля.<br><br>Да, в вашем случае так и будет. Вы правы.<br><br><br><br> Запуск bash скрипта от имени пользователя (angra) https://www.opennet.me/openforum/vsluhforumID9/8169.html#9 Tue, 24 Mar 2009 04:02:07 GMT Вы безнадежны<br> Запуск bash скрипта от имени пользователя (Strik) https://www.opennet.me/openforum/vsluhforumID9/8169.html#8 Mon, 23 Mar 2009 19:07:57 GMT Вы меня не поняли. Когда я говорил ВСЕ я подразумевал что php&bash скрипты запускаются от nobody. Любой пользователь на сервере может написать php скрипт, поскольку скрипт выполняется от nobody у него будут права на выполнение команды без пароля. <br><br> Запуск bash скрипта от имени пользователя (angra) https://www.opennet.me/openforum/vsluhforumID9/8169.html#7 Mon, 23 Mar 2009 14:04:53 GMT Повторяйте за мной:<br>sudo это НЕ su, надо было читать man<br>sudo это НЕ su, надо было читать man<br>sudo это НЕ su, надо было читать man<br>sudo это НЕ su, надо было читать man<br>sudo это НЕ su, надо было читать man<br>sudo это НЕ su, надо было читать man<br>sudo это НЕ su, надо было читать man<br>Наступило просветление? Если нет, то продолжайте повторять и ВНИМАТЕЛЬНО читать man. <br>sudo -u user и su user при внешней схожести довольно сильно отличаются. Если в sudoers прописано что-то вроде:<br>username ALL = NOPASSWD: somescript<br>то ТОЛЬКО username может выполнить ТОЛЬКО somescript с рутовыми привилегиями. Если добавить (ALL) перед NOPASSWD, то ТОЛЬКО username сможет выполнить ТОЛЬКО somescript с привилегиями любого пользователя, которого укажет в -u<br><br><br> Запуск bash скрипта от имени пользователя (phpcoder) https://www.opennet.me/openforum/vsluhforumID9/8169.html#6 Mon, 23 Mar 2009 11:07:25 GMT &gt;Да я уже читал. Может я чего-то не понимаю, но если я <br>&gt;разрешу выполнение команды без пароля то в дальнейшем любой пользователь на <br>&gt;сервере зная только имя пользователя сможет выполнить эту команду. Пароль то <br>&gt;не нужен будет. <br><br>Не любой пользователь, а только nobody.<br>