Как запустить bash скрипт из php?

Question

[Анатолий]

ОС Debian, Nginx
Я не особый знаток php, поэтому вопрос возможно глупый.
Можно ли как-то запустить bash скрипт с помощью php кода, не используя exec, shell_exec,..?
Если надо задать права на выполнение одной команды используя sudo - без проблем.
Просто не хочется уж сильно проседать по безопасности.

--------------------

Дополнительный вопрос: Если никак нельзя решить основной вопрос, то подскажите как использовать изоляцию php через chroot?
1) Я прописал в php-fpm.conf:
chroot = /var/www
chdir = /

2) Создал минимальное окружение:
mkdir /var/www/{etc,lib/x86_64-linux-gnu};
cp /etc/hosts /var/www/etc/hosts;
cp /etc/resolv.conf /var/www/etc/resolv.conf;
cp /lib/x86_64-linux-gnu/libnss_dns.so.2 /var/www/lib/x86_64-linux-gnu/libnss_dns.so.2

3) Перезагрузил php-fpm

В итоге при входе на сайт вордпресс получаю: No input file specified.

Comments

[FanatPHP]

Непонятен этот монолог с самим собой. "Если надо задать права на выполнение одной команды используя sudo - без проблем." - ну так задайте и вызывайте. Вопрос-то в чем?

[Анатолий]

FanatPHP, напишите как это сделать, я например не знаю.
Есть какой-то скрипт, его нужно выполнить, допустим скрипт это:
chmod +x /usr/bin/optimaze.sh

пользователь nginx и php: nginx
права прописываю в visudo:
nginx ALL=/usr/bin/optimaze.sh

и?

[FanatPHP]

Вы сначала определитесь, какую проблему решаете. Если не знаете, как дать всем судо права на определенную команду, то задайте этот вопрос. Если не знаете, как выполнить внешнюю команду - задайте другой. Хотя вы вроде бы сами перечислили доступные для этого функции, и что вам мешает их применить - я не понимаю

[Анатолий]

Задача одна: запуск bash скрипта из под "браузерного" php.
Мешает мне запустить через exec или shell_exec? Безопасность.
Если есть, что сказать конкретное - слушаю, если нет, то зачем писать пустые сообщения?

[FanatPHP]

Это две задачи. Чем быстрее вы это поймете, тем быстрее у вас пойдёт дело. У вас заработала строчка, прописанная в sudoers? Нет? А при чем здесь РНР?

[Анатолий]

Вы так и будете мне вопросы задавать? :)
Я не хочу каждый шаг/действие выделять как отдельная задача, подзадача,..
У меня простой вопрос: МОЖНО ЛИ решить вопрос с запуском bash скрипта, без exec подобных инструментов? Если нет, то и напишите нет! Если знаете как, то напишите как.
К чему весь этот спектакль?

[Анатолий]

FanatPHP, и еще хотел добавить, что если разрешить, к примеру shell_exec, и вызвать следующий код:
$output = shell_exec("ls /");
echo "$output";

то он прекрасно покажет содержание корня, без каких либо sudo.

Мне кажется, что использовать это не совсем безопасно.

[FanatPHP]

Я не хочу каждый шаг/действие выделять как отдельная задача, подзадача,..

извините, напомнило:

— предположим, что у вас в кармане два яблока. Некто взял у вас одно яблоко. Сколько у вас осталось яблок?
— Два.
— Подумайте хорошенько.
Буратино сморщился, — так здорово подумал.
— Два…
— Почему?
— Я же не отдам Некту яблоко, хоть он дерись!

С наступающим!

Answer 1

[Анатолий]

Выбрал для себя следующее решение:
подключение нужных программ, как библиотек

Answer 2

[Sanes]

Если нужны привилегии, то только php-cli.
Можно из crontab или по взрослому через планировщик и очереди.

Comments

[Анатолий]

Можно по подробнее?

1. Читал про php-cli и я так понял, что это не мой вариант, так как у меня вся работа php идет из под браузера, а не консоли. А php-cli это больше консольный инструмент, а не браузерный?!

2. По поводу crontab тоже думал, типа создавать какой-то флаг в виде файла, но подумал, что это как-то примитивно.

3. Что такое планировщик и очереди, и вроде как планировщик это и есть crontab?

[FanatPHP]

Анатолий, не обращайте внимания на этот ответ. Этот посетитель известен тем что пишет ответы на вопросы, которых не понимает.

[Sanes]

FanatPHP,
Иди проспись. PHP-FPM ты будешь от имени какого пользователя перезапускать?

[Sanes]

Анатолий,

1. Добавляйте задачу, как обычно. Запись в базу.
   
2. По крону проверяйте, есть ли задача
   
3. Если есть, выполняем
   

Примерно такой же механизм у Laravel очередей, только там постоянно демон смотрит в базу.

[Анатолий]

Sanes, давайте по порядку, Вы сейчас говорите про php-cli или это новое решение моей задачи?

По сути Вы предлагаете создание того же файла, который будет являться флагом к началу действий, только обращение будет к БД? По сути в этом предложении для меня ничего нового.

А помимо флага, есть какие-то предложения в решении этой задачи?

[Sanes]

Анатолий,
добавьте например рутом задачу в cron

* * * * * /usr/bin/php /var/www/hidden_dir/cron.php

Получится, что запустите php скрипт от имени root. Соответственно прав будет хватать и через web-приложение его дергать не надо.

[Анатолий]

Это не интересный и очевидный для меня вариант.
Хочу узнать, чего не знаю, а не как сделать костыли.

PS. Считайте, что советуете то, чем я уже пользуюсь.

[Sanes]

Анатолий, иначе запускайте из браузера с необходимыми правами. Вам же безопасно надо?

[Sanes]

Анатолий,
А чтобы это не выглядело, как костыль, например в Laravel придумали очереди из коробки. Отлично подходит для вашей задачи.
И поверьте, если работаете с сервером, в очередях нет ничего зазорного.

[Анатолий]

Sanes, честно говоря писал сюда, чтобы просветится на предмет взаимодействия php с консолью линукса, но как понял, ничего такого нет. ((

[Sanes]

Анатолий, а ничего и не может быть. Только встроенные функции PHP.

[Sanes]

Анатолий,
есть правда ssh2_exec, но у меня он не взлетел, как хотелось бы

[Анатолий]

Sanes, ладно понял, а что по дополнительному моему вопросу, по chroot?
У Вас есть какой-то опыт? В чем может быть причина, того что сайт не запускается и как это побороть?

[Sanes]

Анатолий,
Посмотрите эти сценарии, может что новое для себя найдёте. Себе делал как-то давно.

[Анатолий]

что-то я там слова не нашел про chroot

[Sanes]

Анатолий,
Шаблон. Вообще вас должна интересовать настройка

php_admin_value[open_basedir] = /var/www/{{ username }}/

Не забивайте chroot-ом голову.

[Sanes]

Анатолий,
если говорить про окружение в целом, то всё изолировано, включая php-fpm, ftp, shell для каждого пользователя.

[Анатолий]

Не плохо, есть описание всего этого? Что за переменная [{{ username }}] как она присваивается, куда этот шаблон закидывать, примеры и т.д.

[Sanes]

Анатолий, это Ansible, я думаю разберетесь за пару дней. Посмотрите в файлах add.yml del.yml первые строки, это объявление переменных. Если в команде не указать, будет пошаговый запрос.

vars_prompt:
    - name: 'username'
      prompt: 'Username'
      private: no
    - name: 'userpass'
      prompt: 'Password'
      private: no
    - name: 'mysql_user_pass'
      prompt: 'MySQL password'
      private: no
    - name: 'domain'
      prompt: 'Domain'
      private: no
    - name: 'cms'
      prompt: 'CMS'
      private: no
      default: 'null'
    - name: 'php'
      prompt: 'PHP Version (7.0 or 5.6)'
      private: no
      default: '7.0'

[Sanes]

Анатолий,
username
пользователь linux, ftp, mysql, имя базы

[Анатолий]

Почитал про ansible:
---------------------
Ansible — это программное решение для удаленного управления конфигурациями. Оно позволяет настраивать удаленные машины. Главное его отличие от других подобных систем в том, что Ansible использует существующую инфраструктуру SSH, в то время как другие (chef, puppet, и пр.) требуют установки специального PKI-окружения.

Что нужно для Ansible. Необходимы следующие Python-модули:
python-yaml
python-jinja2
-----------------------

Что-то не верю, что это лучший для меня вариант. Питон я не знаю. И зачем мне удаленное управление? Перефразируя, если мне нужно открутить болт, то достаточно отвертки, а мега завод, который все умеет.

[Sanes]

Анатолий,
Где вы там мегазавод увидели? Обычное описание команд в yaml и шаблоны конфигурационных файлов. Нет там никакого питона.
Но можете конечно делать на bash, если больше нравится.

[Анатолий]

Sanes, ну Вы же не предлагаете конкретное решение, кроме crontab, а говорите посмотреть на то-то.. я смотрю, и говорю что вижу. Цитирование у меня из статьи про ansible, там написано именно так. Статья, которую прочитал вот: https://habr.com/post/305400/
Что для Вас обычно, для меня не обычно, например я не знаю что это за команды yaml, поэтому я и попросил либо примеры, либо статью, в которой это разжевано.

[Sanes]

FanatPHP,
Я знаю, какое желание загадать на Новый год. Чтобы программисты не лезли в настройки сервера.

Answer 3

[Борис Сёмов]

Либо вы разрешаете как-то выполнение программ, и можете сделать это и вы и потенциальный взломщик, либо нет - чудес тут не бывает.

По изоляции - вам надо менять конфиг веб сервера, и имя скрипта передавать относительно вашего chroot. А передаётся оно, вероятно, относительно корня сейчас. Ну и окружение слишком уж минимальное. =)

P.S. Вам правильно писали, что очереди это тоже вполне инструмент изоляции.

Comments

[Анатолий]

Либо вы разрешаете как-то выполнение программ, и можете сделать это и вы и потенциальный взломщик, либо нет - чудес тут не бывает.

Перечитал 5 раз, но не уловил смысл предложения.

По изоляции - вам надо менять конфиг веб сервера, и имя скрипта передавать относительно вашего chroot. А передаётся оно, вероятно, относительно корня сейчас. Ну и окружение слишком уж минимальное. =)

Давайте по порядку:
1. Так "менять конфиг веб сервера" - можно пример, статью или что-то.. пока же слова не несут для меня какого-то смысла.
2. "имя скрипта передавать относительно вашего chroot" это логично и я не спорю, корень изменился и все связанное с ним. Скажите, почему перестал запускаться сайт?
Появляется надпись: No input file specified.
Причем в логах пусто.
3. "Ну и окружение слишком уж минимальное." я не знаком с chroot, просветите меня, что прочитать, дайте конкретные инструкции к действию, и т.д.

Вам правильно писали, что очереди это тоже вполне инструмент изоляции.

Вы имеете ввиду запись в БД, а потом проверку по крону?

[Борис Сёмов]

1. Смысл в том, что либо запрещать выполнение в конфиге, и быть в безопасности от этого, либо не запрещать иметь возможность выполнить, но выполнить сможет кто угодно, кто сможет выполнять код. Сделать так, чтобы только свой один скрипт выполняться мог, вне зависимости от дыр, не выйдет.

2. В зависимости от того, что у вас за веб сервер, какие у вас настройки и.т.п.
Например, в nginx надо вместо

fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;

написать

fastcgi_param  SCRIPT_FILENAME    /$fastcgi_script_name;

По окружению, попробуйте. Может и будет работать. Но многим расширениям требуются разные библиотеки. И ответить на вопрос, что потребуется именно вашему приложению невозможно - пробуйте и смотрите лог. Основная инструкция: "думать и пользоваться поиском". Фактически бесценная.

3. Или по крону, или используя постоянно работающий скрипт, или через очереди в виде отдельного ПО, есть ещё варианты. Важна концепция, в общем-то, а как удобнее реализовать именно в вашем случае, надо смотреть.

Answer 4

[grinat]

Ну есть вариант, например подменить стандартный mail клиент в линукс, и тогда когда будет выполняться mail() то будет запускаться скрипт)
А вообще, не страдай херней, и запускай через exec.