PHP exec («sudo…») не работает при вызове через Интернет?

Question

PHP exec («sudo…») не работает при вызове через Интернет?

1

У меня есть сценарий write_get.php который я бы хотел выполнить через пользователей, удаленно загружающих веб-страницу. Этот скрипт, в свою очередь, запускается

exec("sudo php save_file.php ".$arg1)

для записи некоторых файлов, требующих sudo разрешений. Это отлично работает, когда я запускаю write_get.php из командной строки на моем веб-сервере в качестве не привилегированного пользователя, но он не работает нормально, когда я вызываю скрипт, загружая его в веб-браузере. Веб-браузер представляет одно и то же сообщение, заставляя его выглядеть так, как будто ошибки нет, но файл, созданный save_file.php, никогда не создается. Все остальное, что должно произойти (другое создание временного файла, которое не требует sudo + вставка базы данных) отлично работает, но все остальное находится в write_get а не в sudo-requiring save_file.

Я предполагаю, что сервер каким-то образом блокирует этот вызов exec("sudo... когда он удаленно? Или если нет, то что здесь происходит? Самое главное, как я могу обойти это?

ps Я понимаю, что здесь, вероятно, важны проблемы с безопасностью, но, пожалуйста, знайте, что на этом сервере нет никаких конфиденциальных данных/чего-либо, и что файлы, созданные в скрипте, sudo-requiring от sudo-requiring даже не содержат ввода пользователя, поэтому на данный момент я больше связанный с попыткой сделать выше, чем с созданием более безопасной файловой структуры/альтернативного способа сделать это.

helloB 27 авг. 2015, в 22:36

Источник

2

Пользователь, которого php и / или apache использует в списке sudoers и настроен ли он для выполнения без пароля?
Justin Pearce 27 авг. 2015, в 20:35
1

проще поменять права доступа к файлу?
user557846 27 авг. 2015, в 20:36
0

@Dagon Дагон, что последний не вариант.
helloB 27 авг. 2015, в 20:37
0

@helloB У вас, очевидно, есть root-доступ к серверу. Почему изменение прав доступа к файлам не вариант? Должна быть более безопасная альтернатива использованию exec и sudo в PHP-скрипте. Также, как упоминал Джастин выше, пользователю Apache необходимо иметь root-доступ без пароля, что означает, что вы по сути выполняете Apache от имени root. Все три из них открывают зияющие дыры в безопасности. Все, что требуется пользователю для получения root-доступа, - это загрузить файл PHP на ваш веб-сервер. Я бы настоятельно рекомендовал сделать это по-другому, иначе вы просто хотите, чтобы ваш сервер был взломан.
Mike 27 авг. 2015, в 20:47
0

@JustinPearce спасибо за это предложение. Я даже не знал о списке sudoers, так что это должно быть проблемой. Тем не менее, теперь я добавил www-данные в список sudoers без пароля, и я также запустил sudo -k для перезапуска, но у меня все еще тот же результат.
helloB 27 авг. 2015, в 20:47
0

@Mike Майк, если я хочу создавать файлы в / var / www / html в ответ на действия пользователя, очевидно, я не хочу изменять права доступа к файлам этого корневого веб-каталога. Но я хочу, чтобы URL, созданный для этих файлов, был в самой основе доменного имени. Так, например, пользователь вызывает сценарий для создания файла, а затем может перейти непосредственно к example.com/file_just_created. Я не хочу иметь сложные URL-адреса, поэтому я сопротивляюсь решениям, основанным на разрешениях файлов.
helloB 27 авг. 2015, в 20:48
0

На самом деле, мне непонятно, почему вы не захотите изменить права доступа / var / www / html для записи пользователем www-data. Это кажется мне более вменяемым, чем создание root-доступа к www-данным.
Mike 27 авг. 2015, в 20:52
0

@Mike Майк, я полагаю, я не вижу разницы в этот момент, а sudo кажется проще?
helloB 27 авг. 2015, в 20:54
0

@helloB Просто сделайте chown -R www-data:www:data /var/www/html и не беспокойтесь о попытке заставить пользователя Apache получить права root.
Mike 27 авг. 2015, в 20:59
0

Кроме того, когда вы делаете это таким образом, вам также не нужно использовать exec . Просто включите другой файл из вашего основного скрипта.
Mike 27 авг. 2015, в 21:02
0

@Mike Майк Хорошо, я пойду с твоим решением. Большое спасибо. Если вы напишите это как ответ, я отмечу это как таковой.
helloB 27 авг. 2015, в 21:09

Показать ещё 9 комментариев

Теги:

php

permissions

apache2

1 ответ

Ещё вопросы

Пользователь, которого php и / или apache использует в списке sudoers и настроен ли он для выполнения без пароля?
проще поменять права доступа к файлу?
@Dagon Дагон, что последний не вариант.
@helloB У вас, очевидно, есть root-доступ к серверу. Почему изменение прав доступа к файлам не вариант? Должна быть более безопасная альтернатива использованию exec и sudo в PHP-скрипте. Также, как упоминал Джастин выше, пользователю Apache необходимо иметь root-доступ без пароля, что означает, что вы по сути выполняете Apache от имени root. Все три из них открывают зияющие дыры в безопасности. Все, что требуется пользователю для получения root-доступа, - это загрузить файл PHP на ваш веб-сервер. Я бы настоятельно рекомендовал сделать это по-другому, иначе вы просто хотите, чтобы ваш сервер был взломан.
@JustinPearce спасибо за это предложение. Я даже не знал о списке sudoers, так что это должно быть проблемой. Тем не менее, теперь я добавил www-данные в список sudoers без пароля, и я также запустил sudo -k для перезапуска, но у меня все еще тот же результат.
@Mike Майк, если я хочу создавать файлы в / var / www / html в ответ на действия пользователя, очевидно, я не хочу изменять права доступа к файлам этого корневого веб-каталога. Но я хочу, чтобы URL, созданный для этих файлов, был в самой основе доменного имени. Так, например, пользователь вызывает сценарий для создания файла, а затем может перейти непосредственно к example.com/file_just_created. Я не хочу иметь сложные URL-адреса, поэтому я сопротивляюсь решениям, основанным на разрешениях файлов.
На самом деле, мне непонятно, почему вы не захотите изменить права доступа / var / www / html для записи пользователем www-data. Это кажется мне более вменяемым, чем создание root-доступа к www-данным.
@Mike Майк, я полагаю, я не вижу разницы в этот момент, а sudo кажется проще?
@helloB Просто сделайте chown -R www-data:www:data /var/www/html и не беспокойтесь о попытке заставить пользователя Apache получить права root.
Кроме того, когда вы делаете это таким образом, вам также не нужно использовать exec . Просто включите другой файл из вашего основного скрипта.
@Mike Майк Хорошо, я пойду с твоим решением. Большое спасибо. Если вы напишите это как ответ, я отмечу это как таковой.

Mike · Accepted Answer · 2015-08-27T19-35-00.000Z

То, что вы пытаетесь сделать, - это плохая идея, потому что вам нужно будет предоставить доступ к пользователю без пароля для пользователя Apache, что по существу похоже на то, что пользователь Apache равен root. Все, что потребуется для получения корневого доступа к вашему серверу, - это загрузить вредоносный PHP-скрипт и выполнить этот скрипт, выполняемый пользователем Apache. Вместо этого просто создайте файлы, которые вы пишете для записи пользователем Apache, выполнив:

chown -R www-data:www:data /var/www/html

И вместо этого вместо exec() просто include другой файл PHP в ваш основной скрипт.