2015-02-24 41 views
0

爲了在專用的Mac Web服務器上爲Plone製作「一鍵式」啓動解決方案,我想創建一個Automator應用程序。這樣做的目的是爲了能夠在登錄時啓動它,以便如果計算機遇到停電或需要重新啓動以進行維護時,Plone會在機器重新啓動後自動啓動。也就是說,因爲安裝將以root身份進行,所以用戶和「.../zeocluster/bin/*」需要在sudoers中得到祝福,以便無需密碼即可啓動plonectl。創建一個Automator應用程序來啓動Plone會帶來安全風險嗎?

基本問題:生產服務器上添加/ bin/*給sudoers會帶來巨大的安全風險嗎?

回答

1

Zope將以開頭作爲根,但不會以作爲根運行。在連接到端口後,它會更改爲您構建中指定的有效用戶。

也就是說,除非需要綁定到特權端口(如端口80或443),否則我會盡量避免以root身份啓動Zope。這只是沒有必要,而且會增加攻擊面。基於同樣的原因,我會避免使用automator作爲以root身份啓動的應用程序。

取而代之,請查看統一安裝程序中的init_scripts目錄。它有OS X的示例啓動腳本和打包列表。這些在很長一段時間內都沒有被觸及,所以很有可能需要編輯以匹配實際的啓動命令。我也有sudo給有效的用戶,而不是以root身份啓動。所以:

sudo -u plone_daemon /usr/local/Plone/zeocluster/bin/plonectl start 

調整到您的安裝位置。

相關問題