Hallo,
Ich habe ein Shellscript zur automatisierten Installation einer PHP-Anwendung geschrieben, Auch Backups, Updates, Sperrungen und das spätere Löschungen von Instanzen dieser Anwendung sind möglich. Das Script macht u.a. folgende Dinge:
* Symlinks und Verzeichnisse anlegen
* Config-Dateien von lighty (vhosts) und cron (cronjobs) schreiben
* MySQL-Datenbanken anlegen und Rechte setzen
* Config-Dateien neu von Diensten einlesen lassen
Das Script soll nun über eine Weboberfläche bedienbar sein - mit sudo kein Problem. Was gibt es sicherheitstechnisch dabei zu bedenken? Confixxs & Co. lösen viele Dinge ja über cronjobs. Bringt das eine Vorteil gegenüber der direkten Ausführung des Scripts durch sudo?
Gruß,
Maik
*OOPS - falsches Forum => bitte ist Sicherheitsforum verschieben...*
Ist sudo eine gute Idee?
-
kase
- Posts: 1031
- Joined: 2002-10-14 22:56
Re: Ist sudo eine gute Idee?
Unter anderem deswegen gibt es sudo, so falsch kann es also nicht sein :)
Es kommt aber stark darauf an, wie restriktiv sudo konfiguriert ist, und vor allem, wie sicher die Scripte sind, die sudo aufrufen darf.
Es kommt aber stark darauf an, wie restriktiv sudo konfiguriert ist, und vor allem, wie sicher die Scripte sind, die sudo aufrufen darf.
-
mccab99
- Posts: 43
- Joined: 2006-02-20 08:41
- Location: Cloppenburg
Re: Ist sudo eine gute Idee?
Ok.
sudo konfigurieren ist klar. User x (der, unter dem PHP läuft) wird nur dieses Script ausführen dürfen, sonst nix und auch niemand anderes.
"Sicher" meint für mich bei einem Shellscript (bash) vor allem, dass ich den übergebenen Parametern misstraue und da entsprechend siebe, bzw. sowieso nur bestimmte Werte zulasse.
Man liest sehr viel über Schweinereien mit umgebogenen Umgebungsvariablen, deswegen war ich gerade bei einem Shellscript unsicher. Unsicher hatte mich auch gemacht, dass viele Anwendungen mit ähnlicher Zielsetzung eher auf cronjobs setzen.
Dann stimmt die Zielrichtung prinmzipiell und ich weiß, wo ich noch weiterlesen muss/kann.
Gruß,
Maik
sudo konfigurieren ist klar. User x (der, unter dem PHP läuft) wird nur dieses Script ausführen dürfen, sonst nix und auch niemand anderes.
"Sicher" meint für mich bei einem Shellscript (bash) vor allem, dass ich den übergebenen Parametern misstraue und da entsprechend siebe, bzw. sowieso nur bestimmte Werte zulasse.
Man liest sehr viel über Schweinereien mit umgebogenen Umgebungsvariablen, deswegen war ich gerade bei einem Shellscript unsicher. Unsicher hatte mich auch gemacht, dass viele Anwendungen mit ähnlicher Zielsetzung eher auf cronjobs setzen.
Dann stimmt die Zielrichtung prinmzipiell und ich weiß, wo ich noch weiterlesen muss/kann.
Gruß,
Maik