Как перезагрузить nginx без root'а?

Question

[Alexander Mekhonoshin]

Или может быть пойти каким-то другим путём.

Хочу сделать веб-интерфейс для добавления сайта.
Очень не хочется помещать пароль в директорию `/var/www/` или давать www-data особые права.
Но даже сделать `yes $PASSW | su root` не выйдет: `su: must be run from a terminal`.

Есть идея обернуть утилитой, которая делает эмуляцию клавиатуры, но тогда ведь придётся пароль светить?

Нагуглить ничего дельного не смог.

С уважением, Александр.

Answer 1

[Сергей Савостин]

По крону от root'а запускать скрипт, который будет проверять какой-то флаг (файл, mysql, не важно), который будет выставляться из web.

Comments

[Alexander Mekhonoshin]

О, не банально!

[evnuh]

@a_ex и через жопу

[Сергей Савостин]

Зато ни одна тварь ничего лишнего сделать не сможет (если этот флаг делать по-умному)

[evnuh]

@savostin в чем проблема дать судо вашему www-data на выполнение этого же скрипта? Разницы в итоге никакой, только первый вариант - черезжопный, вариант с sudoers - правильный (он, собсно, для того и придуман).

[Сергей Савостин]

Не могу спокойно спать, когда в вебе торчит шелл скрипт от рута, хоть убейте. Это конечно от неуверенности в полноте своих знаний как системного администратора - мало ли где что не учел и этот скрипт, например, можно из того же веба изменить под свои нужды.
Вы, конечно, правы.

[Alexander Mekhonoshin]

Я тоже исзожу из параноидальных мотивов. Веб интерфейс над root'ом конечно будет за паролем, но как-то не хочется испытать последствия взлома этого интерфейса.

[Александр]

как я понял автора комментария, скрипт не должен торчит в вэбе... скрипт мониторит некоторый флаг, например через очередь задач. Как только появляется данная задача от фронтэнда, то бэдграундовский скрипт от Пользователя с правами sudo на конкретные действия (а не рута) выполоняет перегрузку nginx.

Answer 2

[evnuh]

sudoers?

Comments

[Alexander Mekhonoshin]

Я пока не совсем с этой концепцией разобрался. Как я понял: в этот файл (/etc/sudoers/) заносится www-data, после чего www-data бедет позволено повышать свои права до супер-пользователя. Так?

[Alexander Mekhonoshin]

Читаю man sudoers. Английский понимаю, но с трудом...

[Alexander Mekhonoshin]

Думаю мне нужно сконфигурировать sudoers так, чтобы на вызов сценария перезагрузки nginx от имени www-data с супер-правами не требовался пароль.

Но пока не разобрался с SUDOERS FILE FORMAT.

Answer 3

[Дмитрий Энтелис]

Правильный вариант это настройка прав пользователя от которого выполняется скрипт, что бы sudo на определенную команду выполнялось без пароля.
Не являюсь админом, но знаю что в CentOS это решается утилитой visudo

мы используем скриптик

#!/bin/sh
d=$1
if [ -f /etc/nginx/conf.d/$1.conf ];then
  echo $d already exist
  exit 1
fi

cat <<EOT >/etc/nginx/conf.d/$1.conf
server {
  server_name  www.$d;
  return       301 http://$d\$uri;
}

server {
  server_name  $d;
  set \$site_root '/www/$d';
  root \$site_root;

  include /etc/nginx/conf.d/common.inc;

  location / {
    include /etc/nginx/conf.d/common-loc.inc;
  }
}
EOT

mkdir /www/$d
[ -f /www/$d/index.php ] || cat <<EOT >/www/$d/index.php
<? phpinfo(); ?>
EOT

service nginx reload

но дергаем его из консоли.

Соответственно надо настроить visudo так, что бы у пользователя из под которого работает веб-сервер были права на sudo этого скрипта. И все, проблема решена.

Comments

[Alexander Mekhonoshin]

Я прочёл этот сценарий. Как я понимаю, он создаёт платформу для сайта. Т.е. создаёт директорию для него (+кладёт в неё проверочный index.php с phpingo) и добавляет конфиг nginx'а для этого сайта.

Хорошо. У меня тоже что-то типа этого есть.

> Соответственно надо настроить visudo так, что бы у пользователя из под которого работает веб-сервер были права на sudo этого скрипта. И все, проблема решена.

Сейчас как раз думаю, как это настроить.

[Дмитрий Энтелис]

@a_ex
Этот скрипт дергает nginx, соответственно в конце конфига написано

nginx   ALL=/sbin/service nginx reload, /usr/local/scripts/add_site

ну и права на папки выставлены соответственно

[Дмитрий Энтелис]

@a_ex add_site это вот этот наш скриптик

Answer 4

[Влад Животнев]

Используйте sudo с NOPASSWD

Comments

[Alexander Mekhonoshin]

Это через sudoers, так?

Я пока не до конца понимаю его структру. Читаю в его man'е раздел SUDOERS FILE FORMAT

Если у вас есть готовое решение, буду очень благодарен, это сэконимит мне время.

Answer 5

[Сергей]

1. Можно создать пользователя, занести его в /etc/sudoers/
2. Создать sh скрипт, сделать владельцем файла этого юзера.
3. Задать SUID для скрипта, чтобы он запускался от имени владельца
4. Запускать sh скрипт через ajax+php (функция exec ), разумеется это как вариант

Про SUID и STICKY BIT

Или можно без SUID обойтись, записать в /etc/sudoers www-data ALL = NOPASSWD: /home/script.sh

Comments

[jcmvbkbc]

> 2. Создать sh скрипт, сделать владельцем файла этого юзера.
> 3. Задать SUID для скрипта, чтобы он запускался от имени владельца
хрен там, не работает этот способ со скриптами.

Answer 6

[metajiji]

Добавлю в копилку еще вариант с expect или empty, если сильно принципиально вводить пароль :)