Как запустить выбранный php-скрипт с правами root в Nginx?

Question

[Sinot]

Приветствую.

Имеется скрипт (основан на этом), который проверяет доступность сервера по средством пинга. Но проблема в том, что скрипт использует RAW-сокеты, что разрешено только root.

Вот в этом и заключается вопрос, как настроить Nginx так, чтобы конкретный скрипт запускался с правами root? Сам по себе Nginx работает от имени специально для него созданного пользователя.

Спасибо.

P.S. Собственно задача в проверке доступности выбранного сервера и не обязательно именно так ее решать, но вызов системных программ из php (предлагали system("ping ".$_GET[adres]) и подобные) мне показалось не очень разумным.

Comments

[Илья Ерохин]

если речь идет о php как о fcgi-сервисе, то nginx здесь не при чем, он лишь проксирует на него.

[Sinot]

AirWorker: И верно, но тогда аналогичный вопрос о настройке php (он ведь тоже не от root работает).

Answer 1

[Александр Князев]

Тут дело не в том под кем запущен nginx, как я понимаю, а в том под кем запущен php. Если вы используете php-fpm, то можете создать отдельный пул под рутом, на отдельном порту или сокете и привязать location в nginx к нему. Гуглите что-то вроде "multiple PHP-FPM pools", например.

Comments

[Sinot]

Мысль мне ясна. Попробую настроить таким образом.
Спасибо.

Answer 2

[Андрей]

а зачем это извращение?
напиши скрипт, запихни его в крон для root'а и будет счастье

Comments

[Sinot]

Скрипт не нужно запускать по времени, а по нажатию кнопки на сайте. Cron не подойдет.

[Андрей Михалёв]

Sinot: имеется введу что есть скрипт который проверяет наличие некоторого флага, или файла, после чего выполняет ваши команды. мне кажется такое менее опасно чем запуски действий от рута...

[Sinot]

Андрей Михалёв: В этом случае теряется оперативность, или запустить скрипт как демон или типа того. Но опять нужен скрипт, который этот флаг/файл будет создавать, а запускать его нужно от root.

Собственно что и предложил Александр Князев. Запустить отдельный пул php от root и в настройках Web-сервера разрешить только одному конкретному скрипту там выполнятся. Останется только настроить невозможность изменения кем либо этого скрипта (я думаю вообще его отдельным сайтом сделать, аля сервис пинга).

В итоге имеем изолированный от всего скрипт, который можно только запускать.

[Андрей Михалёв]

Sinot: сделать файл в php не проблема вообще то. Настроить взаимодействие проще простого. оперативности нет, согласен. Но как вариант он имеет место быть.

[Андрей]

Sinot: ну, по нажатию кнопки реализуйте создание какого-нибудь файла, а на сервере - да хоть с помощью upstream создайте скрипт типа:

<?php
while(true) {
if(file_exists('/tmp/ping.txt')) {
run_test();
}
sleep(1);
}
?>

[Sinot]

Андрей: Мне кажется подход Александр Князев более правильным. В вашем случае мы имеем вечно запущенный скрипт на PHP ("PHP придуман, чтобы умирать"), дополнительную нагрузку на файловую систему (да мизерную, но все же) и ко всему прочему усложненную систему вызова скрипта и получения результата его работы.

Хотя, конечно, это тоже вариант решения.

[Андрей]

Sinot: ну, я бы не стал php-fpm под рутом запускать, тем более тот, который еще и наружу проксируется. небезопасно это.
Конечно, если вы используете движок очередей или редис - это было бы лучше, чем файл.

[Андрей]

Sinot: а вечно запущенный скрипт - почему нет, просто писать его надо аккуратнее, там всякие соединения не забывать закрывать и т.п. на крайняк, ничто не мешает раз в какое-то время файл просто завершать, upstart его сам поднимет обратно.