Üdv!
Egy PHP-s formon keresztül szeretnék egy a cron.d-ben lévő file-t szerkeszteni Debian alatt. Az lenne a kérdésem, hogy ezt hogyan illik megcsinálni, hogy ne nyissunk biztonsági lyukat a rendszeren. Az első ötlet, hogy az adott file jogait 644-ről 664-re állítom, valamint az ownert root:root -ról root:www-data -ra. Ekkor viszont a www-data user tudja szerkeszteni a crontabot, amivel akár root-ként is futtathat parancsot.
Tehát ez így nem járható, tudtok jobb ötletet adni?
Petya
- 1059 megtekintés
Hozzászólások
A webről bizony a www-data turkászik... Én nem közvetlenül a cron.d-ben lévő fájlt bactatnám, mert az nem a gézuka user vicik-vacakjainak a futtatására szolgál.
Lenne egy konfigfájl, amiben benne van az engedélyezett parancsok listája, teljes útvonallal (extra verzsön: a megengedett paraméterek szépen regexp-pel mögérakva).
A webes form ezt olvassa, és felajánlja egy listában, hogy mit, milyen beállításokkal szeretne a delikvens csinálni.
A webes form csekkolja, hogy a megadott paraméterezés megfelel-e a konfigfájlban lévő regexpnek (extra verzió), ha igen, lerakja egy fájlba a kérést.
Egy root-ként futkorászó cron-job felolvassa a kérést tartalmazó fájlt, és betolja a www-data crontab-jába, majd a crontabok újraolvasására utasítja a crond-t.
- A hozzászóláshoz be kell jelentkezni