1

У меня есть пользовательский демон, который управляет черным списком для моего прокси (HAProxy). Когда черный список обновляется, мне нужно перезагрузить haproxy, чтобы он имел самый последний прокси. К сожалению, ручная перезагрузка haproxy нецелесообразна, поскольку черный список может обновляться несколько раз в день.

Чтобы решить эту проблему, я создал скрипт для перезагрузки haproxy, но он должен работать от имени пользователя root, чтобы он мог пройти через systemctl для правильного управления. Этот скрипт находится в каталоге bin пользователя демона. Я также сменил владельца файла на другого пользователя (пока что root) и разрешения для -r-xr-x ---. Я планирую добавить пользователя демона в файл sudoers без доступа к паролю к этому сценарию.

Я хочу знать, безопасна ли эта практика или есть лучшая альтернатива?

|источник

1 ответ1

0

Да, правильный способ установить это - написать скрипт, который делает только то, что нужно демону, и создать специальную запись sudoers, чтобы демон мог выполнить скрипт. Очень важно, чтобы пользователь демона не мог изменить скрипт, поэтому я не буду хранить его в домашнем каталоге демона. Скорее поместите его где-нибудь как /usr/local/bin и сделайте его доступным для записи только пользователю root.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .