[Linux/PHP] Uitvoeren als gebruiker

zondag 1 maart 2009 16:21

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers,

Voor een projectje waarmee ik bezig ben, heb ik 2 servers. De ene server heeft het panel, de andere server heeft de gameservers. Dit werkt allemaal perfect, de ene server houdt netjes contact met de andere server via HTTP/XML.

Nou wil ik echter dat iemand op het panel aan kan klikken dat een gameserver opnieuw gestart moet worden. Ok, geen probleem, je killt de oude en start de nieuwe.

Nou lukt het killen van de oude met gemak: je zoekt in de processenlijst en killt de goede. Het starten van een nieuwe instantie is helaas wat lastiger: Hij voert 'm uit als apache, niet als de goede gebruiker.

Logisch, maar hoe los ik dit op?

Tom

zondag 1 maart 2009 16:26

Acties:

0 Henk 'm!

Herko_ter_Horst

Met su?

"Any sufficiently advanced technology is indistinguishable from magic."

zondag 1 maart 2009 16:27

Acties:

0 Henk 'm!

TvdW

Topicstarter

en hoe moet "apache" su uitvoeren? zonder het wachtwoord te weten?

su krijg ik wel aan de praat, maar ik krijg 'm niet zover dat 'ie ook inderdaad die gameserver opstart vanuit de goede gebruiker. En daar komt dan nog bij: su werkt niet omdat de shell op /sbin/nologin staat

[ Voor 61% gewijzigd door TvdW op 01-03-2009 16:28 . Reden: kleine verandering ]

zondag 1 maart 2009 16:40

Acties:

0 Henk 'm!

Verwijderd

Gebruik sudo. Daarmee kun je bepaalde gebruikers bepaalde commando's als root laten uitvoeren.

zondag 1 maart 2009 16:41

Acties:

0 Henk 'm!

Boudewijn

omdat het kan

setuid setten op een scriptje?

i3 + moederbord + geheugen kopen?

zondag 1 maart 2009 16:42

Acties:

0 Henk 'm!

TvdW

Topicstarter

Verwijderd schreef op zondag 01 maart 2009 @ 16:40:
Gebruik sudo. Daarmee kun je bepaalde gebruikers bepaalde commando's als root laten uitvoeren.

dat is het probleem niet. ik kom via apache tot het root account maar vanaf daar kom ik niet verder: ik wil niet uitvoeren als root, maar als normale gebruiker.

zondag 1 maart 2009 16:43

Acties:

0 Henk 'm!

Verwijderd

TvdW schreef op zondag 01 maart 2009 @ 16:42:

dat is het probleem niet. ik kom via apache tot het root account maar vanaf daar kom ik niet verder: ik wil niet uitvoeren als root, maar als normale gebruiker.

Dat kan ook, moet je even de documentatie lezen.

zondag 1 maart 2009 16:47

Acties:

0 Henk 'm!

TvdW

Topicstarter

Verwijderd schreef op zondag 01 maart 2009 @ 16:43:
[...]

Dat kan ook, moet je even de documentatie lezen.

Danku!

[root@tvdw ~]# sudo -u rick whoami
rick

zondag 1 maart 2009 16:57

Acties:

0 Henk 'm!

Luqq

Ik heb een soortgelijk projectje op het moment, en de enige relatief veilige manier om dit op te lossen, is om de SSH2 Module voor php te gebruiken, en met public+private key in te loggen, en zo de server te starten.

zondag 1 maart 2009 17:06

Acties:

0 Henk 'm!

TvdW

Topicstarter

kan niet, shell staat op /sbin/nologin

tevens weet ik ook niet alle wachtwoorden van de accounts op mijn server.

zondag 1 maart 2009 17:07

Acties:

0 Henk 'm!

Boudewijn

omdat het kan

Dat is nou net het idee van een public key

.

ideetje om die shell dan te fixen en dan alleen public te allowen?

i3 + moederbord + geheugen kopen?

zondag 1 maart 2009 17:09

Acties:

0 Henk 'm!

TvdW

Topicstarter

Boudewijn schreef op zondag 01 maart 2009 @ 17:07:
Dat is nou net het idee van een public key .

ideetje om die shell dan te fixen en dan alleen public te allowen?

dat maakt alles weer een beetje complex terwijl het ook makkelijk kan

zondag 1 maart 2009 17:15

Acties:

0 Henk 'm!

Luqq

TvdW schreef op zondag 01 maart 2009 @ 17:09:
[...]

dat maakt alles weer een beetje complex terwijl het ook makkelijk kan

Geloof me, dit is de makkelijkste manier. Je wil dit echt niet via apache oplossen

zondag 1 maart 2009 17:18

Acties:

0 Henk 'm!

Boudewijn

omdat het kan

TvdW schreef op zondag 01 maart 2009 @ 17:09:
[...]

dat maakt alles weer een beetje complex terwijl het ook makkelijk kan

Dit is juist makkelijk

.

Wat jij aan het doen bent maakt de boel juist complex, ook ivm mensen die rommel via je apache uit gaan vreten.

i3 + moederbord + geheugen kopen?

zondag 1 maart 2009 17:21

Acties:

0 Henk 'm!

TvdW

Topicstarter

nou, kijk, het idee is dus dat er later nog extra servers (fysieke) bij komen, zowel windows als linux. daarom werk ik via een php-script die alles afhandelt, deze kan dan bepalen hoe 'ie het doet, ipv alles via de panelserver te doen.

Tom

zondag 1 maart 2009 17:45

Acties:

0 Henk 'm!

eghie

Spoken words!

Boudewijn schreef op zondag 01 maart 2009 @ 16:41:
setuid setten op een scriptje?

Dat gaat niet werken, zie ook: http://www.faqs.org/faqs/unix-faq/faq/part4/section-7.html

Kun je niet iets als dit doen?

C:

//Do some important stuff

//Drop privileges (inspired by the book "The Art of Software Security Assessment")

/* 1. drop group privileges */
if (setgid(getgid()!=0)) /* getgid() returns the real group id (gid of the calling user) */
{
  /* error handling: unable to lose group privileges */
}

/* 2. drop supplemental group ids */
#ifdef HAVE_SETGROUPS
if (setgroups(0,NULL)!=0)
{
  /* error handling: Unable to clean supplemental group id list */
}
#endif

/* 3. drop user privileges */
if (setuid(getuid()!=0)) /* getuid() returns the real user id (uid of the calling user) */
{
  /* error handling: Unable to drop user privileges */
}

// Do some non privileged stuff.

Zie daarvoor:
http://nl2.php.net/posix_setgid
http://nl2.php.net/posix_setuid

[ Voor 64% gewijzigd door eghie op 01-03-2009 17:49 ]

zondag 1 maart 2009 17:55

Acties:

0 Henk 'm!

TvdW

Topicstarter

nee, het script voert standaard uit als apache en niet als root. geen rechten dus

Onderwerpen