Jos*_*osh 2 security php sudo apache-2.2
我管理自定义软件即服务 (SAAS) CMS 和电子商务系统的托管。该系统由 HAproxy 实例后面的 LAMP 服务器集群提供支持,每个客户/域在集群和 LDAP 中都有自己的 unix 帐户。每个客户购买我们使用 cPanel 服务器管理的给定数量的数据存储,因此配额由标准 linux 内核 / NFS 配额强制执行。
我希望能够在我客户的 Web 管理仪表板中提供磁盘空间使用情况统计信息。在 LAMP 集群上,我可以/usr/bin/quota domain.name以root 身份运行以获取任何给定域使用的磁盘空间。但是我们的 Apache 实例作为 UID 运行www-data。
它是安全的,允许www-data运行sudo /usr/bin/quota带NOPASSWD?
如果你的sudoers配置保证/usr/bin/quota是唯一的那个东西www-data是允许root权限是运行,那么,这听起来相当安全的。
然而,它仍然比需要的风险更大。一种更安全的方法是设置一个cron作业来定期(例如,每 1-5 分钟)检索此信息并将其输出到www-data具有读取权限的文件中。