web-лицо для нескольких сервисов

debian, ruby on rails, webmin, история успеха

1

1

Хотелось бы для нескольких сервисов (pure-ftpd, puma, etc) сделать простой бэкенд на вебе (на чем не важно, хоть на рельсах).

Как правильно делать, пускать это поделие от рута - нереально опасно. Есть ли какая-то мулька для авторизации в таком случае?

Ссылка

←	Xubuntu + Qt

XML -> JSON

→

Для авторизации в системе или авторизация для доступа к этой вебморде?

alozovskoy ★★★★★
(05.03.14 22:47:13 MSK)

Ответ на: комментарий от alozovskoy 05.03.14 22:47:13 MSK

В системе, например что бы перезапустить pure-ftpd/nginx нужны права root. Но запускать веь-морду от рута это не комильфо.

invokercd ★★★★
(05.03.14 23:07:58 MSK) автор топика

Ответ на: комментарий от invokercd 05.03.14 23:07:58 MSK

В /etc/sudoers разреши апачу выполнять определённые скрипты без пароля.

sin_a ★★★★★
(05.03.14 23:26:45 MSK)

Ответ на: комментарий от sin_a 05.03.14 23:26:45 MSK

То есть выход только sudo?

invokercd ★★★★
(05.03.14 23:33:51 MSK) автор топика

Ответ на: комментарий от invokercd 05.03.14 23:33:51 MSK

Ну можно еще скрипт написать, запустить его от рута, подавать ему команды а он будет ребутить нужное приложение

alozovskoy ★★★★★
(05.03.14 23:35:03 MSK)

Ответ на: комментарий от invokercd 05.03.14 23:33:51 MSK

А это почему-то нежелательно?

sin_a ★★★★★
(05.03.14 23:35:24 MSK)

Ответ на: комментарий от sin_a 05.03.14 23:35:24 MSK

Просто меня пугает когда что то вроде ispmanager работает от рута. Гораздо лучше если есть что то вроде api к которому можно обратиться и передать авторизационные данные и команду.

invokercd ★★★★
(05.03.14 23:45:20 MSK) автор топика

Ответ на: комментарий от alozovskoy 05.03.14 23:35:03 MSK

Тоже думал о таком, думал что то подобное уже есть.

invokercd ★★★★
(05.03.14 23:45:56 MSK) автор топика

пускать поделие от рута - очень опасно, сие есть факт неприложный.

AndreyKl ★★★★★
(05.03.14 23:53:31 MSK)

Ответ на: комментарий от invokercd 05.03.14 23:45:20 MSK

Никто не будет работать от рута. Ты просто разрешишь апачу выполнять два (или больше, по количеству сервисов) определённых скрипта с повышенными привилегиями. Не больше.

sin_a ★★★★★
(05.03.14 23:54:08 MSK)

Ответ на: комментарий от invokercd 05.03.14 23:45:56 MSK

На python через fifo:

# mkfifo /tmp/script.fifo

#!/usr/bin/env python
import subprocess

f = open("/tmp/script.fifo")

while True:
    command = f.read().rstrip()
    if not command:
        continue
    subprocess.call(command)

Ну это самый простой случай.

alozovskoy ★★★★★
(06.03.14 00:03:53 MSK)

Ответ на: комментарий от AndreyKl 05.03.14 23:53:31 MSK

Эпичная уязвимость в Webmin <=1.590

invokercd ★★★★
(06.03.14 00:21:40 MSK) автор топика

Так для апача и nginx в стстеме создают свои пользователи типа www-data, от их лица и запускается сервис апача, даже если запускает root или юзер через sudo.

sudo service apache2 start

И в системе апач привязан к wwwdata, и запущен от него.

menangen ★★★★★
(06.03.14 00:21:45 MSK)

Ответ на: комментарий от sin_a 05.03.14 23:54:08 MSK

Спасибо

invokercd ★★★★
(06.03.14 00:22:17 MSK) автор топика

Ссылка

Ответ на: комментарий от menangen 06.03.14 00:21:45 MSK

Эти пользователи типа www-data создаются автоматически, после установки apache2 пакета.

menangen ★★★★★
(06.03.14 00:22:36 MSK)

Ссылка

Ответ на: комментарий от alozovskoy 06.03.14 00:03:53 MSK

Суть понятна, главное ограничить что можно. Спасибо.

invokercd ★★★★
(06.03.14 00:23:24 MSK) автор топика

Ссылка

Ответ на: комментарий от menangen 06.03.14 00:21:45 MSK

Это непривилегированный юзер для дочерних процессов, мастер-процесс работает от рута (и это нормально). Я имел ввиду что нельзя допускать работы веб-морд от рута.

invokercd ★★★★
(06.03.14 00:25:17 MSK) автор топика

Ответ на: комментарий от alozovskoy 06.03.14 00:03:53 MSK

только замечу что тут надо быть очень аккуратным с правами иначе это будет не дыра а дырища.

ещё замечу что через судо потенциально менее опасно потому что код выше выполнит любую команду, что в случае какой-нибудь глупой ошибке в web-интерфейсе приведёт к полному фейлу. а через судо можно выполнять только те команды которые определены, что закрывает многие вещи потенциально возможные с кодом выше и ошибкой в веб морде.

AndreyKl ★★★★★
(06.03.14 00:28:51 MSK)
Последнее исправление: AndreyKl 06.03.14 00:31:53 MSK (всего исправлений: 1)

Ответ на: комментарий от invokercd 06.03.14 00:21:40 MSK

угу, так оно и есть.

AndreyKl ★★★★★
(06.03.14 00:29:04 MSK)

Ссылка

Ответ на: комментарий от invokercd 06.03.14 00:25:17 MSK

Раньше только от рута и запускали апач на 80 порту :-) Конечно, это не круто, но если ваш сервер не для продакшена - то можно оставить апач под рутом, но application (php-fpm) нужно запускать на другом порту уже не под рутом и проксировать через fast-cgi apache+phpfpm.

menangen ★★★★★
(06.03.14 00:35:25 MSK)

Ссылка

Ответ на: комментарий от AndreyKl 06.03.14 00:28:51 MSK

Ну это просто как пример реализации без sudo. Я бы сделал словарь например { 'stop1' : 'service webserver1 stop', 'start1' : 'service webserver1 start', 'stop2' : 'service webserver2 stop', 'start2' : 'service webserver2 start' } и так далее. То есть ограничил бы выбор действий а сами команды вообще были бы «захардкожены».

alozovskoy ★★★★★
(06.03.14 01:12:52 MSK)

Ответ на: комментарий от alozovskoy 06.03.14 01:12:52 MSK

согласен, так вполне себе годно на мой взгляд.

AndreyKl ★★★★★
(06.03.14 01:16:35 MSK)
Последнее исправление: AndreyKl 06.03.14 01:17:38 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от alozovskoy 06.03.14 01:12:52 MSK

Приму к сведению, интересно.

invokercd ★★★★
(06.03.14 04:26:57 MSK) автор топика
Последнее исправление: invokercd 06.03.14 04:28:00 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Xubuntu + Qt

Development

XML -> JSON

→

Похожие темы