Quão seguro é permitir que o www-data execute a cota sudo?

2

Eu gerencio a hospedagem de um sistema CMS e E-commerce personalizado de software como serviço (SAAS). Esse sistema é alimentado por um cluster de servidores LAMP atrás de uma instância do HAproxy, e cada cliente / domínio tem sua própria conta unix no cluster e no LDAP. Cada cliente compra uma determinada quantidade de armazenamento de dados que gerenciamos usando um servidor cPanel, portanto, as cotas são impostas pelas cotas padrão do kernel / NFS do Linux.

Eu quero poder fornecer estatísticas de uso de espaço em disco no painel de administração da Web de meus clientes. No cluster LAMP como root, posso executar /usr/bin/quota domain.name para obter o espaço em disco usado por qualquer domínio. No entanto, nossas instâncias do Apache são executadas como% UIDwww-data.

É seguro permitir que www-data execute sudo /usr/bin/quota com NOPASSWD ?

    
por Josh 25.04.2012 / 22:43

2 respostas

6

Se a sua configuração sudoers garantir que /usr/bin/quota é a única coisa que www-data tem permissão para executar com privilégios de root, então sim, isso parece razoavelmente seguro.

No entanto, ainda é mais arriscado do que o necessário. Uma abordagem mais segura seria configurar um trabalho cron para recuperar essas informações periodicamente (digamos, a cada 1 a 5 minutos) e enviá-las para um arquivo que www-data tenha acesso à leitura.

    
por 25.04.2012 / 23:13
1

A resposta das milhas está correta. A abordagem correta está vinculada a algum sistema de fila de tarefas no seu aplicativo e os funcionários verificam a fila de tarefas para que os trabalhos sejam executados. Eles podem verificar cada segundo e ter melhor controle sobre o usuário. Então você pode evitar o atraso do cron.

    
por 26.04.2012 / 05:27