Разрешение на запуск определенной команды от sudo от имени пользователя www-data без пароля

Question

У меня есть веб-сервер, который также играет интернет-радио. Как пользователь www-data я хочу запустить несколько команд, например, я сделал это в файле /etc /sudoers :

www-data        ALL=(ALL) NOPASSWD: /usr/bin/amixer

И с помощью PHP я могу манипулировать громкостью без использования пароля:

exec('sudo -u user amixer set Master 3%-');

А также:

exec('sudo -u user amixer set Master 3%+');

Но теперь я хочу иметь возможность перезапустить свой собственный сервис, выполнив команду:

exec('sudo -u user service servicename restart');

Итак, я попробовал:

www-data        ALL=(ALL) NOPASSWD: /usr/bin/amixer, NOPASSWD: /bin/service

И это:

www-data        ALL=(ALL) NOPASSWD: /usr/bin/amixer, /bin/service

И даже это:

www-data        ALL=(ALL) NOPASSWD: /usr/bin/amixer
www-data        ALL=(ALL) NOPASSWD: /bin/service

Но ни один из них, кажется, не работает. Пожалуйста, помогите мне.

---

Извините ребята - моя ошибка. Я сделал некоторые изменения, попытался связать форму /sbin с /bin

Теперь я изменил это на:

www-data        ALL=(ALL) NOPASSWD: /usr/bin/amixer, NOPASSWD: /usr/sbin/service

И это работает! Спасибо! Тема закрыта.

Answer 1

Осторожнее с вашим решением: вы можете запустить, остановить или перезапустить любую услугу таким образом!

Лучше создать сценарий оболочки, который запускает эту команду:

echo "#!/bin/sh' > /usr/bin/amixer_restart
echo "sudo -u user service amixer restart' >> /usr/bin/amixer_restart

Предоставьте соответствующие разрешения (550 означают, что корневые и групповые www-данные могут читать и выполнять, никто не может писать)

sudo chown root:www-data /usr/bin/amixer_restart
sudo chmod 550 /usr/bin/amixer_restart

И разрешите apache sudo для этого скрипта:

www-data        ALL=(ALL) NOPASSWD: /usr/bin/amixer_restart

Answer 2

Это то, что я в итоге сделал:

1. Установите apache2, запустив sudo apt-get install apache2
2. Убедитесь, что apache разрешено запускать сценарии cgi, запустив sudo a2enmod cgi
3. Перезапустите apache sudo service apache2 restart

4. Убедитесь, что я могу запускать сценарии bash, создав следующий сценарий в /usr/lib/cgi-bin/test.sh

   #!/bin/bash
   
   # get today's date
   OUTPUT="$(date)"
   USR=$(whoami)
   
   # headers
   echo "Content-type: text/plain"
   echo ""
   
   # body
   echo "Today is $OUTPUT"
   echo "Current user is $USR"
   

5. сделать исполняемый скрипт chmod +x /usr/lib/cgi-bin/test.sh

6. Убедитесь, что я могу выполнить скрипт curl localhost/cgi-bin/test.sh Я получаю следующий ответ:

    Today is Wed Sep  6 12:19:34 PDT 2017 
    Current user is www-data
   

7. Поскольку пользователь является www-data, я добавляю этого пользователя как sudoer. Затем я модифицирую файл /etc/sudoers , добавив в конце следующую строку:

   www-data ALL=(ALL) NOPASSWD: ALL

8. Теперь этот пользователь должен иметь привилегии root. Затем я изменяю свой скрипт test.sh как:

   #!/bin/bash
   
   # get today's date
   OUTPUT="$(date)"
   USR=$(sudo whoami)
   

9. Затем вы должны увидеть следующий ответ при выполнении запроса get против localhost/cgi-bin/test.sh:

   Today is Wed Sep  6 12:28:38 PDT 2017
   Current user is root