Forum Linux.gentoo Sécurité - Commande privilégié en php

Posté par  .
Étiquettes : aucune
0
30
mai
2007
Bonsoir tout le monde.

J'aurais voulu avoir votre avis sur une petite question que je me pose.

J'ai l'intention d'utiliser une interface Web afin d'interagir avec un service (de manière très simpliste, stop, start, restart) afin d’éviter de prendre la main en ssh à chaque fois que j'ai besoin de faire la commande.

Le PHP me permet bien de faire ce que je souhaite. Un problème se pose tout de même, il me semble obligatoire d'indiquer le mot de passe root dans le code... Même si je ne vois pas en premier lieu de manière simple pour un hacker de le récupérer, je doute que ce soit une bonne idée.

Ai je raison de m'inquiéter, et si oui, est il possible d'agir autrement ?

Merci

  • # Peut être sudo ?

    Posté par  . Évalué à 2.

    Tu peux utiliser sudo, en donnant les droits à l'utilisateur voulu, de lançer ta commande, ou tu peux écrire dans un fichier temporaire une variable, que tu vérifies ensuite en crontab en root. Suivant que le fichier ai été écrit ou non, tu exécutes ta commande.
    L'inconvénient : ce n'est pas direct
    L'avantage : il me semble que ce soit plus sécurisé ainsi.

    Il y a surement d'autres solutions, en espérant que d'autres auront des idées.

    Bon courage ne tout cas

    • [^] # Re: Peut être sudo ?

      Posté par  (site web personnel) . Évalué à 1.

      Autoriser juste la commande pour l'utilisateur avec sudo est la meilleur solution mais attention car s'il y a une faille dans le code et selon quel commande est utilisé ça peut être très dangeureux.

    • [^] # Re: Peut être sudo ?

      Posté par  . Évalué à 2.

      Pour faire un peu plus direct, tu peux aussi utiliser un script avec le SUID pour qu'il s'exécute avec les droits root. Dans tous les cas, attention aux failles potentielles.

      Sinon, Webmin fait ce que tu cherches à faire (administration des services via une interface web).

      • [^] # Re: Peut être sudo ?

        Posté par  (site web personnel) . Évalué à 5.

        un script avec le SUID
        Non, pour les scripts, ça ne fonctionne pas comme ça : les suid ou sgid sont ignorés. 
        $ ll plop.sh
-rwsr-sr-x 1 root root 62 2007-05-31 14:01 plop.sh
$ ./plop.sh
whoami : atihon
$ sudo ./plop.sh
whoami : root

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.