Discussion :

[Leikon]

Bonjour à tous,
Voilà, comme le titre l'indique, je suis entrain d'automatiser des tâches sur mon serveur grâce à des scripts en bash.

Je rencontre alors un problème :
Apache doit exécuter des scripts qui nécessitent un droit d'accès root, car il y a manipulation de fichiers et dossiers dans des emplacements qui ne sont accessibles que par des administrateurs, il y a également des chmod, des chown, des chgrp.

En bref, ne pouvant pas donner un droit root ou admin à mon apache, je ne sais comment faire pour pouvoir éxécuter ces scripts en toute sécurité.

1) J'ai vu que l'on pouvait utiliser sudo pour permettre à certains users d'exécuter certaines commandes.
Mais dans mon cas, donner le droit à apache d'aller dans certains dossiers importants, et de faire du chmod, chown et chgrp, autant dire que c la même chose que de lui donner un droit root

2) J'ai vu qu'on pouvait créer un éxecutable en C par exemple qui ferait toutes les tâches, mais bon c'est pareil, si quelqu'un prend apache, il peut lancer ce script à l'infini !? (Lien developpez)

Je précise que c'est un script en php qui va lancer le script bash via la fonction exec()

Merci

[frp31]

comment un site peut avoir des besoins d'accès root ?

c'est la structure du site ou de l'application php qu'il faut changer pas le système.

tu prends le problème à l'envers là...

tu lancerais un binaire encore .... à la limite avec un suid bit tu aurais pu le faire même si je trouve que c'est une très mauvaise méthode.


et pourquoi c'est pas une crontab de l'utilisateur admin qui lance tes scripts PHP? Ce serait déjà moins dangereux comme solution.

quel est le besoin réel derrière ta problématique ?

[Leikon]

Merci pour ta réponse,
Crontab ne correspond pas à mes besoins qui sont en l'occurrence de créer un sous-domaine :

1) J'entre "mon-sous-domaine" dans un formulaire
2) Php fait appel à mon script, et me crée automatiquement mon-sous-domaine.example.com

[Winnt]

Salut,

Pourquoi ne pas déposer un fichier contenant les informations nécessaires dans un répertoire spécifique surveillé par incron qui les lirais en root puis effacerais le fichier une fois son travail effectué ?

[Leikon]

Salut,
Je ne connaissais pas incron, mais en effet ça me parait être un très bon moyen de répondre à ma problématique.
Je me concentre là dessus dès que j'ai le temps et je reviens par ici vous apporter des news !!

Merci en tout cas.

[gangsoleil]

1) J'entre "mon-sous-domaine" dans un formulaire
2) Php fait appel à mon script, et me crée automatiquement mon-sous-domaine.example.com

Je ne vois pas en quoi tu dois etre root pour creer ce genre de choses... C'est bien dans un sous-repertoire d'apache que tu vas creer le dossier et tout ce qui est necessaire non ?

Autre idee : creer un groupe qui aurait quelques privileges.

[Leikon]

Je ne vois pas en quoi tu dois etre root pour creer ce genre de choses... C'est bien dans un sous-repertoire d'apache que tu vas creer le dossier et tout ce qui est necessaire non ?

Autre idee : creer un groupe qui aurait quelques privileges.

Le souci c'est qu'apache n'a pas le droit d'écriture dans les dossiers où j'interviens.
Seul l'admin du domaine peut faire ce genre de choses.

L'idée de Winnt me plait bien, le fait d'avoir un processus admin qui surveille la création de fichiers dans un certain répertoire (où apache pourrait écrire).
En vérifiant les données entrées, je peux juger si mes actions seront sécurisées.

[Leikon]

Je confirme donc que incron correspond très bien à mes besoins :

En résumé, root surveille un dossier, et lorsqu'on ferme un fichier en écriture par exemple, il lance un script bash (inaccessible par les autres users) avec en argument le nom du fichier créé.
Il ne reste plus qu'à aller lire dans le fichier et récupérer les données dont on a besoin.
Il suffit ensuite de tester ces données avec entre autres du Regex et d'effectuer (ou non) les tâches.

-> Résolu