Как выдать non-root юзеру возможность влиять на работу Nginx?

Ну очевидный sudo же

Или polkit.

Или запускать nginx из под пользователя.

sudo требует ввода пароля, чего совсем не хочется. Можно как-то вынести только Nginx на обычного юзера?

Или запускать nginx из под пользователя

А как это? Его можно без sudo systemctl start запустить?

Ты man sudo, man sudoers читал? Яндекс хотя бы пробовал спросить о том, как дать пользователю право без пароля определённые команды выполнять? В первых строчках ответы же. JFGI

Можно. Пишешь имя бинарника с нужными ключами и запускаешь.

пропиши в /etc/sudoers

%user%  ALL=(ALL) NOPASSWD: nginx -s stop
%user%  ALL=(ALL) NOPASSWD: nginx -s reload

и тогда %user% будет будет доступен беспарольных запуск под рутом только для двух данных строчек
$ sudo nginx -s stop
$ sudo nginx -s reload
все остальное будет по другому

ну и редактировать sudoers надо аккуратно. ибо может жопа произойти.

Можно как-то вынести только Nginx на обычного юзера?

Можно, это обычная программа. Единственное что надо будет доделать - это разрешить ему случать 80/443 порты (по умолчанию это разрешено только руту).

setcap cap_net_bind_service=ep /usr/bin/nginx

отменить это разрешение так:

setcap -r /usr/bin/nginx

nginx запускаешь так:

/usr/bin/nginx -c /путь/к/конфигу

/usr/bin/nginx -c /путь/к/конфигу -s stop
(или так) killall -9 nginx

/usr/bin/nginx -c /путь/к/конфигу -s reload
(или так) killall -HUP nginx

Конфиг надо будет скопировать из /etc/nginx (всю директорию) куда-нить себе в $HOME и заменить там некоторые пути (какое-нить /var/run/nginx.pid доступно только руту например - замени тоже на путь в $HOME). Да и вообще раз ты запускаешь nginx от своего юзера - конфиг удобнее редактировать тоже от него же без перелогина в рута.

Или ещё вариант как оставить nginx под рутом, выдать права его перезапускать, и не пользоваться не понравившимся тебе sudo (мне он тоже не нравится).

Пишешь прогу например nginx-runner.c

#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
#include <grp.h>

!!! тут заменяешь пути на другие если у тебя другие
#define NGINX_BIN "/usr/sbin/nginx"
#define NGINX_CONF "/etc/nginx/nginx.conf"

int main(int argc, char **argv) {
  char *args[10], *envp[10], *sig;
  if(argc==1) sig = NULL;
  else if(argc!=2) { usage:
    fprintf(stderr, "Usage: %s [start|stop|quit|reopen|reload]\n", argv[0]);
    return -1;
  } else if(!strcmp(argv[1],"start")) sig = NULL;
  else if(!strcmp(argv[1],"stop") || !strcmp(argv[1],"quit") || !strcmp(argv[1],"reopen") || !strcmp(argv[1],"reload")) sig = argv[1];
  else goto usage;
  if(setgroups(0,NULL)<0 || setgid(0)<0 || setuid(0)<0) {
    fprintf(stderr, "failed to set superuser, error %d (%s)\n", errno, strerror(errno));
    return -1;
  }
  args[0] = NGINX_BIN;
  if(!sig) args[1] = NULL;
  else { args[1] = "-s"; args[2] = sig; args[3] = NULL; }
  envp[0] = "/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin";
  envp[1] = NULL;
  execve(args[0], args, envp);
  fprintf(stderr, "exec(%s) error %d (%s)\n", args[0], errno, strerror(errno));
  return -1;
}

Компилируешь её и кладёшь на место (от рута):

gcc -Wall -o /usr/local/bin/nginx-runner nginx-runner.c
chgrp группа_твоего_юзера /usr/local/bin/nginx-runner
chmod 4750 /usr/local/bin/nginx-runner

nginx-runner (запустить nginx)
nginx-runner start (запустить nginx)
nginx-runner stop (остановить nginx)
nginx-runner reload
nginx-runner reopen
nginx-runner quit

Учти только что если у тебя nginx запускается из systemd то скорее всего start он будет делать ему сам автоматически и команда start отсюда всегда будет ругаться что он уже запущен. Можно отключить в systemd его целиком и тогда управление останется целиком у юзера (если надо).

Могу предложить запускать nginx через докер, а своего юзера добавить в группу docker.

Это хуже, чем sudo. sudo ещё как-то может ограничивать пользователя (хотя дыр не счесть). Дать доступ к докеру - значит, дать доступ ко всей системе.

а тебе зачем валить nginx?

Явно речь идёт о рабочей станции и скорее всего Tyse_EX является там единственным пользователем.

Подними его в rootless докере, все в классе обзавидуются

Ой, надо заменить

-  envp[0] = "/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin";
+  envp[0] = "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin";

setcap

nginx обновился из репы и досвидули костылиразрешения. sudo проще.

А да, про обновления то я забыл. Ну, вариантов много, выбирать автору.

У вас в Линуксах веб сервер от рута работает??? А я думал там о безопасности думают.

Нет, он работает от своего юзера, но запускалка рутовая.

setcap

Хорошо бы где-то такого рода действия протоколировать, потому что через какое-то время напрочь забудешь о том, что и почему работает или не работает, и будешь долго разбираться…

Интересные тут советы конечно. Sudo, полкит на сервере и т.п.

Делаешь демон, который выполняется от рута, читает пайп и запускает нужные команды.

Даёшь юзеру права на запись в этот пайп.

А почему бы и не запустить nginx прямо от пользователя, раз тебе е надо в сеть и это чисто для себя?

полкит на сервере

И флуксбокс :)

На ноутбуке же, я так понимаю для локальнотыканья вебни же.

Это хуже, чем sudo. sudo ещё как-то может ограничивать пользователя (хотя дыр не счесть). Дать доступ к докеру - значит, дать доступ ко всей системе.

А есть ли какой-то пример такой уязвимости, что запустил докер от локального юзера и, к примеру, отредактировал через него /etc/passwd?

А есть ли какой-то пример такой уязвимости, что запустил докер от локального юзера и, к примеру, отредактировал через него /etc/passwd?

$ docker run --rm -it -v /:/mnt thinca/vim
root> vim /mnt/etc/passwd

Опубликована дата релиза SUSE 10.1 (комментарий)

Не понял. С докером никак не застрахуешься от этого, по-моему. Разве что с podman можно, наверное.

https://docs.docker.com/engine/security/rootless/

Подозреваю, что это почти то же самое, что podman. И так же, как с podman, придётся возиться с capabilities, чтобы дать возможность nginx забиндиться на 80 порту.

Sudo плюс шаманство с башни. Приду домой напишу как на баше написать проброс команд в рут(требуется ввод пароля на старте)

Это на баше делается. Но именно на баше, он умеет в красоту

Ну так запускай от своего пользователя, не совсем понятна сама проблема-то в чем? О_о