Bonjour,
Je suis en trait de développer un petit truc,
Et je cherche à pouvoir exécute une commande en root (iptables) le problème étant que exec s'execute en temps que www-data ce qui est normale pour des raison de sécurité.
Quelqu'un aurais il une solution sans pour autemps donner les droit root par defaut a php ce qui ne serai pas très sécurisé.
Crocxx
Version complète: sur le forum Webmaster Hub : Exectuté une commande en root avec PHP
Hello,
il y a plusieurs solutions :
- transmettre les infos à un cron qui lui tournera en root : l'inconvénient, c'est que du coup le traitement est différé
- faire tourner un démon en root avec lequel ton script communiquera via un socket par exemple... mais ça me semble complexe à mettre en place pour si peu.
- utiliser un script shell spécifique auquel tu attribueras le "suid" de root. Mais à la moindre faille dans ce script, ça peut être la cata coté sécurité.
- utiliser sudo et autoriser "www-data" à lancer "iptables" : c'est pas terrible non plus, à moins que tu n'ais qu'un seul site sur le serveur, pas de phpMyAdmin, pas de webmail, pas de phpBB, ou autre script risquant d'être exploité (bien que le risque soit quand même assez limité). A moins d'en profiter pour passer PHP en SuExec + FastCGI, et que chaque site soit isolé sur son propre compte unix.
Là comme ça, je ne vois pas d'autre alternative en tous cas. Mais peut-être que quelqu'un en verra d'autre.
il y a plusieurs solutions :
- transmettre les infos à un cron qui lui tournera en root : l'inconvénient, c'est que du coup le traitement est différé
- faire tourner un démon en root avec lequel ton script communiquera via un socket par exemple... mais ça me semble complexe à mettre en place pour si peu.
- utiliser un script shell spécifique auquel tu attribueras le "suid" de root. Mais à la moindre faille dans ce script, ça peut être la cata coté sécurité.
- utiliser sudo et autoriser "www-data" à lancer "iptables" : c'est pas terrible non plus, à moins que tu n'ais qu'un seul site sur le serveur, pas de phpMyAdmin, pas de webmail, pas de phpBB, ou autre script risquant d'être exploité (bien que le risque soit quand même assez limité). A moins d'en profiter pour passer PHP en SuExec + FastCGI, et que chaque site soit isolé sur son propre compte unix.
Là comme ça, je ne vois pas d'autre alternative en tous cas. Mais peut-être que quelqu'un en verra d'autre.
Merci pour tes solutions,
Je me suis débrouillé avec sudo mais comme tu dit ce n'est pas très sécurisé, je vais essayer de passer par un script C ou PERL pour plus de sécurité.
Je me suis débrouillé avec sudo mais comme tu dit ce n'est pas très sécurisé, je vais essayer de passer par un script C ou PERL pour plus de sécurité.
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.