usando sudoers para permitir que usuários não privilegiados reiniciem o apache

Question

usando sudoers para permitir que usuários não privilegiados reiniciem o apache

#1 resposta do (8 votos)

6

Temos servidores centos de produção que executam o apache como root para permitir números de porta baixos (80 e 443).

Gostaríamos que uma forma segura de usuários não-root reiniciassem o apache.

Existe alguma implicação na segurança ao adicionar algo assim ao arquivo sudoers ...

username    ALL=NOPASSWD:/usr/bin/service apache2 reload

Especificamente, gostaria de saber se existe alguma maneira de o usuário elevar seus privilégios ou, de alguma forma, executar outros programas como root.

sudo security centos apache-httpd

por user1751825 21.06.2016 / 06:25

1 resposta

Tags sudo security centos apache-httpd

Enrole e indente o texto usando coreutils Linha de comando do SQLite3: como você cancela um comando?

score 8 · Accepted Answer

Digamos que você queira permitir que os usuários tagarelem ao grupo users2 para fazer algum controle privilegiado sobre apache sem conceder privilégios de root.

Adicione a /etc/sudoers

%users2 keep ALL=NOPASSWD: /sbin/service httpd,/etc/init.d/httpd,/usr/sbin/apache2ctl

Se você quiser que eles reiniciem o apache , será:

%users2 ALL=NOPASSWD: /sbin/service httpd restart,/etc/init.d/httpd restart,/usr/sbin/apache2ctl restart

Os usuários poderão ver quais comandos podem usar com sudo :

sudo -l

E para reiniciar o Apache, eles precisam soletrar exatamente o comando, já que eles podem executá-lo, por exemplo:

sudo /sbin/service httpd restart

É aconselhável definir o caminho completo dos comandos no arquivo sudoers, por motivos de segurança.