如何通过网站PHP安全地更改主机名、IP地址,CentOS
我正在编写一个网站GUI,用于管理运行CentOS的数据服务器设备。很多电器都能做到这一点;供应商基本上只为更改某些配置参数构建GUI,并锁定其他所有内容。但我很确定我在权限方面遇到了问题,我正在寻找最安全的方法。i、 e.当用户通过GUI提交主机名更改时,shell_exec命令似乎正在作为apache运行。Apache可能没有更改主机名的权限,这就是为什么它不起作用的原因。授予Apache这些权限可能是不安全的,对吗?那么解决方案是什么呢?所有设备供应商如何能够编写更改主机名的GUI,他们如何(安全地)做到这一点 代码摘录:如何通过网站PHP安全地更改主机名、IP地址,CentOS,php,apache,sudo,sudoers,Php,Apache,Sudo,Sudoers,我正在编写一个网站GUI,用于管理运行CentOS的数据服务器设备。很多电器都能做到这一点;供应商基本上只为更改某些配置参数构建GUI,并锁定其他所有内容。但我很确定我在权限方面遇到了问题,我正在寻找最安全的方法。i、 e.当用户通过GUI提交主机名更改时,shell_exec命令似乎正在作为apache运行。Apache可能没有更改主机名的权限,这就是为什么它不起作用的原因。授予Apache这些权限可能是不安全的,对吗?那么解决方案是什么呢?所有设备供应商如何能够编写更改主机名的GUI,他们如
<form action="Settings.php" method="get">
<div class="box">
<h1>Device Settings</h1>
Hostname: <input type="text" name="Hostname" label="Hostname" value="<?php echo $Hostname; ?>"><br />
<input type="submit" value="Set"><br />
</div>
</form>
$Hostname=shell_exec("hostname"); /*gethostname**/
if (isset($_GET['Hostname'])){
$Hostname=$_GET['Hostname'];
$output1=shell_exec("sudo hostname ". $Hostname. " 2>&1");*/
}
设备设置
主机名:您可以配置sudo
以允许以另一个用户(例如www-data)的名义执行所有命令,一个特定命令或一个命令模式(也可以使用regex),而无需请求密码
检查。当然,授予apache这样的特权是不安全的。在这种情况下,此服务器上的任何用户都可以运行sudo并生成所需的内容。最好的方法是编写一个由另一个安全服务器控制的系统守护进程
如果您需要一个服务器解决方案,您可以运行另一个特权apache,它不服务于用户的虚拟主机。这将更加安全。我永远不会将Apache直接绑定到系统命令。任何使用shell\u exec()
的行为都应被视为一种行为。我会让您的GUI什么都不做,只是将其值保存到一些简单的非特权存储中,比如保存在某个专用目录中的JSON文件或SQLite数据库。这消除了向Apache授予任何特殊权限的需要,并具有额外的好处,即您可以保存配置的多个时间戳版本,这允许您在发生错误时简单地恢复到以前的任何配置。然后,我将创建一个与web服务无关的单独进程,该进程读取配置并进行适当的系统级更改。只有此进程需要增强权限,而不是整个web服务器。它可以用您喜欢的任何语言编写,也可以根据需要手动执行,例如以一定间隔运行的cron,或主动监视更改的守护进程;sudo rm-r/exechostname[a-z]+