Есть ли стандартные веб-интерфейсы, которые возможно кастомизировать под свои нужды, например для bash скрипта?

Question

[demsi]

Есть некий bash скрипт, точнее сказать целый проект написанный на bash (+не много php)
Основной его функционал заключается в сборке и последующем деплое различных проектов.

Данный скрипт запускается от пользователя на сервере, у которого есть доступ (ssh) на сервера, в которых крутятся проекты. Доступ нужен для деплоя.

Хочется, чтобы деплоить могли разные люди, но при этом давать доступ к пользователю на сервере, от которого идет деплой, не очень секурно, естественно. В таком случае у этих людей будет полный доступ к проектам на продакшне.

Самое лучшее что мне пришло в голову, это сделать некий веб-интерфейс к этому проекту на bash.
Идея в том что у пользователей будет доступ только к конкретным действиям.
Например User1 имеет право делать Деплой в проект Project1.
Он нажимает кнопочку "Деплой", затем идет проверка его прав на это действие, затем запуск bash скриптов с нужными параметрами.
Дейсвия не ограничиваются деплоем и сборкой. Есть еще много всего. Но это сути не меняет.

Сам являюсь системным администратором, хорошие знания bash, perl, базовые php, базовые знания ruby(puppet). Но на них я пишу только системные скрипты. У меня совсем нет опыта веб-разработки, верстки, и дизайнер из меня никудышный. Вот я и хочу взять что-то готовое и кастомизировать это под свои нужды.

1) Есть ли какие-либо решения, которые помогут реализовать данный веб-интерфейс?
2) Возможно есть какие-то похожие реализованные вещи, в которых я бы мог "подсмотреть" как люди делают или как правильно нужно это делать. Буду рад ссылкам.
3) Буду счастлив советам как можно реализовать задачу по другому.

UPD1.
Тут подумал что можно реализовать данную схему через sudo.
Будут пользователи у которых будут права запускать скрипт только с определенными параметрами от имени юзера для деплоя.
То есть например добавим в sudoers такую строку:

User1 ALL = (deploy) NOPASSWD: script -p project1 -a deploy

Если нужно будет разрешить ему деплоить в проект project2 то добавляем еще одну строку:

User1 ALL = (deploy) NOPASSWD: script -p project2 -a deploy

В принципе рабочее решение. Для пользователей конечно не красиво, все через консоль. Но я как админ останусь доволен,что юзер не будет лезть в базу или код на продакшне.

Comments

[Saboteur]

jenkins уже поставили?

Answer 1

[Виктор Таран]

батенька не крутите велосипед.
ping знаете тоже от рута запускаетсяибо имеет доступ до eth0 , а по факту каждый лох узер может его юзать.
Вам хватит вполне себе прав юникс системи
смотрите внимательней.
help.ubuntu.ru/wiki/%D1%81%D1%82%D0%B0%D0%BD%D0%B4...
особенно SUID SGID

Comments

[demsi]

Первым делом я так и реализовал. Но мне не нравится.
Например - Есть у меня пользователь Вася, ему нужно деплоить проект Project1.
Создал я пользователя на сервере для деплоя именно этого проекта. И вот сразу куча проблем:

1) Для деплоя нужно иметь доступ к коду проекта на продакшне. То есть пользователь Вася может случайно удалить код на продакшне.
2) При деплое осуществляются миграции в базу данных. То есть пользвотель Вася будет иметь права что-то делать с базой данных на продакшне
3) Есть у меня таких Вась человек 10 и проектов штук 30. Одним Васям нужно деплоить в одни проекты, другим Васям нужно ревертить в других проектах, Остальных Васям нужно только собирать остальные проекты.

И вот представьте сколько мне нужно будет создать пользователей, и настроить для них права на разных серверах.
user_project1_deploy - права для веб1,веб2,веб3 серверов - права для бд1,бд2,бд3 сервера
user_project2_deploy - права для веб11,веб5,веб7 серверов - права для бд11,бд5 серверов
user_project3_build - права для build1 сервера
...
и таких ~40 юзеров, у которых будет ssh доступ к юзерам на серверах веб и дб.
Если взять в среднем что для каждого такого юзера нужные права для 6 серверов то получается во всей инфраструктуре будет 240 новых пользователей для такой просто задачи.

[demsi]

А по поводу SUID и SGUID, ну и толку. Будет возможность у юзера запускать скрипт под правами пользователя для деплоя. Ну и сможет он тогда деплоить абсолютно любой проект куда угодно.

[demsi]

Хотя, с другой стороны ведь есть sudo. Которая позволяет указывать команды и аргументы, которые имеет право запускать пользователь.
Можно например юзеру user_project1_deploy позволить запускать "script -p project1 -a deploy"
И только эту команду с этими аргументами он сможет выполнить.

Спасибо, натолкнули на хорошую мысль.

Answer 2

[sim3x]

3) Буду счастлив советам как можно реализовать задачу по другому.

https://en.wikipedia.org/wiki/Continuous_integration

Comments

[demsi]

Ну вот у нас система сборки уже есть.
Вот теперь хочется сделать так чтобы она могла работать по внешнему запросу, я собственно и ищу способы реализации этого внешнего запроса.

[sim3x]

demsi: промстандарт https://jenkins-ci.org/

[Влад Животнев]

demsi: teamcity или jenkins вам нужен, а своё поделие на хуки там вешайте.