我在ubuntu服务器上这样做,但是这个问题并不是我的用例(rails,capistrano,部署)所特有的,而且我已经看到很多解决这个问题的方法似乎涉及不良的安全实践.想知道其他人是否可以审查我的解决方案并建议它是否安全?
首先,没有必要,但我不知道为什么/etc/init.d/Nginx需要其他用户进行任何(甚至读取)访问.如果他们需要阅读它,让它们成为root(通过sudo或其他方式),所以我:
chmod 750 /etc/init.d/Nginx
由于所有权是所有者root,组root(或者可以设置为chown root:root /etc/init.d/Nginx)只有root,或者用户正常sudo’ed,可以读取,更改或运行/ etc / init .d / Nginx,我不打算给我的部署用户任何这样广泛的权利.相反,我只是给部署用户提供特定的sudo权限来运行控制脚本/etc/init.d/Nginx.他们将无法运行编辑器来编辑它,因为他们只能执行该脚本.这意味着,如果有人以部署用户的身份访问我的盒子,他们可以重新启动和停止等Nginx进程,但是他们不能做更多的事情,比如改变脚本来做很多其他的,邪恶的事情.
具体来说,我这样做:
visudo
visudo是用于编辑sudoers文件的特定工具,您必须具有sudoer权限才能访问它.
使用visudo,我补充说:
# Give deploy the right to control Nginx deploy ALL=nopASSWD: /etc/init.d/Nginx
检查sudo man页面,但据我了解,第一列是给予sudo权限的用户,在本例中为“deploy”. ALL提供来自所有类型的终端/登录的部署访问(例如,通过ssh).最后,/ etc / init.d / Nginx,ONLY赋予部署用户root权限以运行/etc/init.d/Nginx(在这种情况下,nopASSWD意味着没有密码,这是我无人值守部署所需的) .部署用户无法编辑脚本以使其变得邪恶,他们需要FULL sudo访问才能执行此操作.事实上,没有人可以,除非他们有root权限,在这种情况下,有一个更大的问题. (我测试过用户部署在执行此操作后无法编辑脚本,所以你应该这样做!)
你们有什么感想?这有用吗?有没有更好的方法来做到这一点?我的问题类似于this和this,但提供的解释比我在那里找到的更多,抱歉,如果它太复制了,如果是的话,我会删除它,虽然我也要求不同的方法.
解决方法
/etc/sudoers.d/文件夹可以包含多个文件,允许用户使用sudo调用内容而不是root.
sudo service Nginx restart
请注意,我们使用sudo运行命令.没有sudo sudoers.d / myuser文件永远不会被使用.
myuser ALL=(ALL) nopASSWD: /usr/sbin/service Nginx start,/usr/sbin/service Nginx stop,/usr/sbin/service Nginx restart
这将允许myuser用户为Nginx服务调用所有启动,停止和重新启动.
您可以使用其他服务添加另一行,或继续将它们附加到逗号分隔列表中,以便控制更多项目.
还要确保你已经运行下面的命令以确保安全
chmod 0440 /etc/sudoers.d/myuser
This is also the way I start and stop services my own created upstart scripts that live in /etc/init
It can be worth checking that out if you want to be able to run your own services easily.
说明:
在所有命令中,将myuser替换为您要用于启动,重新启动和停止不使用sudo的Nginx的用户名.
$sudo visudo -f /etc/sudoers.d/myuser
>编辑将打开.在那里你粘贴以下行:
$myusername ALL=(ALL) nopASSWD: /usr/sbin/service Nginx start,/usr/sbin/service Nginx restart
