使用sudo從PHP運行shell腳本

Question

我目前在我的ubuntu盒子上有一個PHP文件，我想用它從Web界面在機器上創建用戶（安全性blablabla，它的所有內部網絡都完全無法從任何人會不小心/故意造成損害到系統）我最初使用這個嘗試：

shell_exec("sudo mkdir -m 755 ".escapeshellarg($directory)); 

    shell_exec("sudo useradd -s /bin/false -d ".escapeshellarg($directory)." -p ".crypt($pass,$salt)." ".escapeshellarg($servername)); 

但很明顯，這既暴露和MKDIR useradd的是無密碼sudo'd，所以不是這樣，我決定減少併發症創造/ etc中的一個shell腳本叫'newserver.sh'，現在我有這個;

#!/bin/bash 
#Var 1 = Directory, Var 2 = Username Var 3 = Password 
mkdir "$1" 
chmod 755 "$1" 
useradd -s /bin/false -d "$1" -p "$3" "$2" 
chown "$2" "$1" 

這似乎工作升技更好，當我從終端運行它，它工作得很好，但PHP exexutes當使用

shell_exec("sudo sh /etc/newserver.sh /home/testuser testuser testpass"); 

它似乎沒有做任何事情（IVE甚至測試用相同的參數，當我從終端運行它。

FYI我sudoers文件中有這一行www-data ALL=(root) NOPASSWD: /etc/newserver.sh

Answer 1

首先，密碼米如下所示：

/etc/newserver.sh /home/testuser testuser "$6$VP9.GI9D$nVjpXIlgoTCLYICNW9ijPqg07opPrjTU2ilYULaT4rut8S9CAmWggMXuOhJ27C5ltwCRfzSxEVgSlReA2i/rH1" 

我想，你應該使用「-c」作爲參數。

shell_exec("sudo sh -c \"/etc/newserver.sh /home/testuser testuser testpass\""); 

Answer 2

以root運行可以通過兩種方式來完成：

• 使用sudo（使www-data一個sudoer什麼是一個好主意......）
• 設置setuid的

看一看/bin/ping：

-rwsr-xr-x 1 root root /bin/ping 

它屬於根，但's'代替'x'（執行）意味着這個程序是setuid：它總是以所有者的身份執行：root。 ping是一個需要構建ICMP數據包的程序，只有root可以操縱這些數據包直到結束。

您可以創建一個類似的environement：把你的命令在shell腳本（假設myscript.sh）和：

chown root:root myscript.sh # Give it to root. 
chmod u+s myscript.sh # Use setuid on it. 

現在，當你運行它，甚至作爲一個普通用戶（或www-data爲網絡服務器...），這些進程將在根用戶身份下創建。

危險將setuid（作爲root）賦予腳本是非常危險的。您應該小心使用權限：除了您感興趣的人員之外，不要允許任何人運行它。例如，創建一個名爲myscriptexec爲允許運行此腳本的人：

addgroup myscriptexec 
chgrp myscriptexec myscript.sh 
chmod g+x # Group can execute. 
chmod o= myscript.sh # No one executes except root and group members. 

然後，將用戶添加到該組，因爲你需要。

如果你需要檢查你的腳本，我建議你使用一個臨時日誌文件，用於調試目的：

exec > /tmp/mylog.log 
exec 2> /tmp/mylog.log