Eu gerencio a hospedagem de um sistema CMS e E-commerce personalizado de software como serviço (SAAS). Esse sistema é alimentado por um cluster de servidores LAMP atrás de uma instância do HAproxy, e cada cliente / domínio tem sua própria conta unix no cluster e no LDAP. Cada cliente compra uma determinada quantidade de armazenamento de dados que gerenciamos usando um servidor cPanel, portanto, as cotas são impostas pelas cotas padrão do kernel / NFS do Linux.
Eu quero poder fornecer estatísticas de uso de espaço em disco no painel de administração da Web de meus clientes. No cluster LAMP como root, posso executar /usr/bin/quota domain.name para obter o espaço em disco usado por qualquer domínio. No entanto, nossas instâncias do Apache são executadas como% UIDwww-data.
É seguro permitir que www-data execute sudo /usr/bin/quota com NOPASSWD ?
Se a sua configuração sudoers garantir que /usr/bin/quota é a única coisa que www-data tem permissão para executar com privilégios de root, então sim, isso parece razoavelmente seguro.
No entanto, ainda é mais arriscado do que o necessário. Uma abordagem mais segura seria configurar um trabalho cron para recuperar essas informações periodicamente (digamos, a cada 1 a 5 minutos) e enviá-las para um arquivo que www-data tenha acesso à leitura.
A resposta das milhas está correta. A abordagem correta está vinculada a algum sistema de fila de tarefas no seu aplicativo e os funcionários verificam a fila de tarefas para que os trabalhos sejam executados. Eles podem verificar cada segundo e ter melhor controle sobre o usuário. Então você pode evitar o atraso do cron.
Tags sudo security php apache-2.2