ruby-on-rails – 非特权,非root用户,用于启动或重新启动webserv
|
我正在使用capistrano来部署rails web应用程序.我想尽可能少地为网络服务器上的部署用户提供权限.除了重启网络服务器之外,我能够以非特权用户的身份做我需要做的一切.
我在ubuntu服务器上这样做,但是这个问题并不是我的用例(rails,capistrano,部署)所特有的,而且我已经看到很多解决这个问题的方法似乎涉及不良的安全实践.想知道其他人是否可以审查我的解决方案并建议它是否安全? 首先,没有必要,但我不知道为什么/etc/init.d/nginx需要其他用户进行任何(甚至读取)访问.如果他们需要阅读它,让它们成为root(通过sudo或其他方式),所以我: chmod 750 /etc/init.d/nginx 由于所有权是所有者root,组root(或者可以设置为chown root:root /etc/init.d/nginx)只有root,或者用户正常sudo’ed,可以读取,更改或运行/ etc / init .d / nginx,我不打算给我的部署用户任何这样广泛的权利.相反,我只是给部署用户提供特定的sudo权限来运行控制脚本/etc/init.d/nginx.他们将无法运行编辑器来编辑它,因为他们只能执行该脚本.这意味着,如果有人以部署用户的身份访问我的盒子,他们可以重新启动和停止等nginx进程,但是他们不能做更多的事情,比如改变脚本来做很多其他的,邪恶的事情. 具体来说,我这样做: visudo visudo是用于编辑sudoers文件的特定工具,您必须具有sudoer权限才能访问它. 使用visudo,我补充说: # Give deploy the right to control nginx deploy ALL=NOPASSWD: /etc/init.d/nginx 检查sudo man页面,但据我了解,第一列是给予sudo权限的用户,在本例中为“deploy”. ALL提供来自所有类型的终端/登录的部署访问(例如,通过ssh).最后,/ etc / init.d / nginx,ONLY赋予部署用户root权限以运行/etc/init.d/nginx(在这种情况下,NOPASSWD意味着没有密码,这是我无人值守部署所需的) .部署用户无法编辑脚本以使其变得邪恶,他们需要FULL sudo访问才能执行此操作.事实上,没有人可以,除非他们有root权限,在这种情况下,有一个更大的问题. (我测试过用户部署在执行此操作后无法编辑脚本,所以你应该这样做!) 你们有什么感想?这有用吗?有没有更好的方法来做到这一点?我的问题类似于this和this,但提供的解释比我在那里找到的更多,抱歉,如果它太复制了,如果是的话,我会删除它,虽然我也要求不同的方法. 解决方法
最佳做法是使用/etc/sudoers.d/myuser
/etc/sudoers.d/文件夹可以包含多个文件,允许用户使用sudo调用内容而不是root. 该文件通常包含用户和用户无需指定密码即可运行的命令列表.如 sudo service nginx restart 请注意,我们使用sudo运行命令.没有sudo sudoers.d / myuser文件永远不会被使用. 这种文件的一个例子是 myuser ALL=(ALL) NOPASSWD: /usr/sbin/service nginx start,/usr/sbin/service nginx stop,/usr/sbin/service nginx restart 这将允许myuser用户为nginx服务调用所有启动,停止和重新启动. 您可以使用其他服务添加另一行,或继续将它们附加到逗号分隔列表中,以便控制更多项目. 还要确保你已经运行下面的命令以确保安全 chmod 0440 /etc/sudoers.d/myuser
说明: 在所有命令中,将myuser替换为您要用于启动,重新启动和停止不使用sudo的nginx的用户名. >为您的用户打开sudoers文件: $sudo visudo -f /etc/sudoers.d/myuser >编辑将打开.在那里你粘贴以下行: $myusername ALL=(ALL) NOPASSWD: /usr/sbin/service nginx start,/usr/sbin/service nginx restart >按ctrl o保存.它将询问您要保存的位置,只需按Enter确认默认值即可.然后用ctrl x退出编辑器. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |