Насколько решение безопасно?

Question

[zaart]

Понадобилось чтобы PHP выполнял команду пакета через оболочку. Команда работает от ROOT.

Совесть добавить PHP в группу sudo мне не позволила и было придумано следующие:

1) Для PHP был установлен модуль php8.1-ssh2,

2) Написан код:

$connection = ssh2_connect('127.0.0.1', 22);
ssh2_auth_password($connection, 'root', 'pass');

$stream = ssh2_exec($connection, 'htop');

P.S: команда, порт, пароль только для примера.

3) В /etc/ssh/sshd_config Было дописано правило:

Match User root Address 127.0.0.1
    PermitRootLogin yes
    PasswordAuthentication yes
Match all

Все отлично работает. Скажите, пожалуйста, достаточно надежно?

Comments

[Владимир Коротенко]

как по мне то дребедень.
логонится на локалхост да еще разрешать парольный доступ для рута это бред

[AUser0]

Уж лучше прописать одну конкретную команду в sudoer, чем хранить пароль в PHP-шном файле!

Answer 1

[CityCat4]

Начать надо с ответа на вопрос - а почему тут нужны права рута? А можно ли обойтись без них?

Answer 2

[Zerg89]

А почему бы не запустить через cron?

Comments

[zaart]

у команды есть уникальный параметр

[pfg21]

коль ты пишешь в файл пароль рута прямым текстом то можно было не гемороится с ssh и просто посылать строчку пароля рута сразу в su. он читает пароль целевого пользователя со stdin.

команда sudo -S позволяет читать пароль текущего пользователя из stdin для получения root (если пользователь входит в нужную группу).
но лучше через sudoers конкретную команду.

[Руслан Федосеев]

ну есть...
вешаем в крон скрипт, который каждую минуту проверяет наличие определенного файла, и если он есть - читает его содержимое, извлекает параметр, выполняет нужную команду. Затем файлик за собой убирает.

Теперь в коде сайта нам нужно просто создать файл с нужным содержимым - и в течении минуты все будет выполнено

Answer 3

[pfg21]

проще было прописать в sudoers команду с параметрами

простой наглядный пример /etc/sudoers

# test
%user_name% ALL=(ALL) NOPASSWD:  /usr/bin/id -Gn

и теперь sudo id -Gn выполняется из-под user_name с правами root без запроса пароля.
а запуск просто sudo id уже так не сработает и с любыми параметрами отличающимися от -Gn тоже.

Comments

[zaart]

А если будет команда id с параметром d и после него уникальный номер?

[pfg21]

zaart, почитай man sudo там есть описание как разбирается строчка и как можно сделать sudo команды с частично вариантивными параметрами.