Ruby on rails 无权限、非root用户,无需root或sudo即可启动或重新启动webserver服务器,如nginx
我正在使用capistrano部署rails web应用程序。我想给Web服务器上的部署用户尽可能少的特权。作为一个非特权用户,除了重新启动Web服务器之外,我可以做任何我需要做的事情 我在ubuntu服务器上做这项工作,但这个问题并不特定于我的用例(rails、capistrano、deployment),我见过很多解决这个问题的方法,它们似乎都涉及糟糕的安全实践。想知道其他人是否可以检查我的解决方案并建议它是否安全 首先,没有必要,但我不知道为什么/etc/init.d/nginx需要其他用户进行任何(甚至是读取)访问。如果他们需要阅读,让他们成为root(通过sudo或其他方式),因此我: 由于所有权是所有者root,所以组root(或者可以使用chown root:root/etc/init.d/nginx设置)只有root或正确使用的用户才能读取、更改或运行/etc/init.d/nginx,我不会给部署用户任何这样广泛的权限。相反,我只给部署用户特定的sudo权限来运行控制脚本/etc/init.d/nginx。他们将无法运行编辑器对其进行编辑,因为他们只能执行该脚本。这意味着,如果某人以部署用户的身份访问我的邮箱,他们可以重新启动和停止nginx进程,但他们不能做更多的事情,比如更改脚本来做许多其他邪恶的事情 具体来说,我正在这样做:Ruby on rails 无权限、非root用户,无需root或sudo即可启动或重新启动webserver服务器,如nginx,ruby-on-rails,ubuntu,permissions,capistrano,sudo,Ruby On Rails,Ubuntu,Permissions,Capistrano,Sudo,我正在使用capistrano部署rails web应用程序。我想给Web服务器上的部署用户尽可能少的特权。作为一个非特权用户,除了重新启动Web服务器之外,我可以做任何我需要做的事情 我在ubuntu服务器上做这项工作,但这个问题并不特定于我的用例(rails、capistrano、deployment),我见过很多解决这个问题的方法,它们似乎都涉及糟糕的安全实践。想知道其他人是否可以检查我的解决方案并建议它是否安全 首先,没有必要,但我不知道为什么/etc/init.d/nginx需要其他用
visudo
# Give deploy the right to control nginx
deploy ALL=NOPASSWD: /etc/init.d/nginx
你们怎么看?这行吗?有更好的方法吗?我的问题类似于和,但提供了比我在那里发现的更多的解释,如果太重复,很抱歉,如果是这样,我将删除它,尽管我也要求使用不同的方法。最佳做法是使用
/etc/sudoers.d/myuser/etc/sudoers.d/sudosudo service nginx restart
sudosudosudoers.d/myusermyuser ALL=(ALL) NOPASSWD: /usr/sbin/service nginx start,/usr/sbin/service nginx stop,/usr/sbin/service nginx restart
chmod 0440 /etc/sudoers.d/myuser
$ sudo visudo -f /etc/sudoers.d/myuser
$ myusername ALL=(ALL) NOPASSWD: /usr/sbin/service nginx start,/usr/sbin/service nginx stop,/usr/sbin/service nginx restart
$ myusername ALL=(ALL) NOPASSWD: /usr/sbin/service nginx start,/usr/sbin/service nginx stop,/usr/sbin/service nginx restart