Не срабатывает system php. В чем проблема?

Question

[Дмитрий Дубенец]

Есть такой код.
function iptables_ban_ip($ip){
system("sudo iptables -A INPUT -s $ip -j DROP", $resultExec);
//system("pwd", $resultExec);
echo "YOU WAS BLOCKED WITH IP=$ip";
echo "BLOCKING COMMAND RESULT=$resultExec";
}
Почему возвращает в resultExec 1. И не происходит блокирование IP?
Сайт развернут на 46.101.168.113/info.php

Answer 1

[Rsa97]

А в sudoers пользователю, под которым работает скрипт, разрешено без пароля запускать iptables?

Answer 2

[Алексей Рытиков]

Очень сомневаюсь, что веб-сервер от root'а запущен, поэтому напишите php-скрипт:
echo exec('whoami');
выполните его не из консоли, а так же, как будете выполнять свой скрипт – через веб-сервер, зайдя по адресу http. В выводе точно узнаете имя, от которого выполняются скрипты.
Если это будет www-data, то откройте /etc/sudoers и добавьте туда:

www-data ALL=(ALL) NOPASSWD: ALL

А вообще, данное решение очень сомнительно, т.к. открывает всем злоумышленникам дорогу к полному доступу к серверу. Как вариант, можете дать sudo своему пользователю не ко всему, а только к нужному скрипту:

www-data ALL=NOPASSWD: /var/www/html/info.php

Comments

[Дмитрий Дубенец]

Не помогло. Есть еще какие варианты?

[Дмитрий Дубенец]

Могу дать доступ к тачке даже. Напиши в ВК vk.com/xaircore

[Алексей Рытиков]

А вообще, любая команда через system выполняется?

[Дмитрий Дубенец]

pwd выполняется, и whoami

[Алексей Рытиков]

Дмитрий Дубенец: ок, давайте попробуем sudo whoami

[Дмитрий Дубенец]

Ничего не вернуло. Код выхода из функции 1. Напиши мне в ВК. Я тебе дам логин и пароль. Посмотри сам. Может я сделал что не так, как ты говорил написать vk.com/xaircore

[Алексей Рытиков]

Дмитрий Дубенец: Я обманщик. В sudoers нужно писать ту команду, которую нужно будет выполнять от имени www-data, т.е. www-data ALL=(ALL) NOPASSWD: /sbin/iptables, NOPASSWD: /usr/bin/whoami