Запуск bash скрипта от имени (без пароля) из php

Dragokas · Регистрация: 25.12.2011

Студворк — интернет-сервис помощи студентам

Здравствуйте!

Я хочу запустить bash скрипт через браузер.

От имени конкретного юзера, не апача.

По идее, должно получиться:

php:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<html xmlns="http://www.w3.org/1999/xhtml">
<body>
<?php
 
$token = $_GET['token'];
$path = dirname(__FILE__) . "/restart.sh";
 
if ($token == "XXX")
{
    # shell_exec($path);
    system($path);
}
 
?>
</body>
</html>

restart.sh:

Bash
1
su user1 -c ./home/user1/script

Загвоздка в том, что требуется ввод пароля.

Я добавил через visudo строчку:

#user1 ALL= NOPASSWD: /home/user1/script
user1 ALL=(ALL) NOPASSWD:ALL

Перезагрузил серв на всякий случай.

Для теста, залогинился под user2, но при вводе:

Bash
1
su user1 -c ./home/user1/script

с меня все равно требуют пароль. Подскажите, пожалуйста, как правильно действовать?
ОС: Debian 9.

@nezabudka · 21.11.2019, 11:43

А через sudo ?
Ведь я так понимаю вы в конфиге sudo прописали вашу строчку

Bash
1
sudo -u user

Dragokas · 21.11.2019, 20:08 **[ТС]**

Спасибо.
В случае

Bash
1
sudo -u user1 /home/user1/script

тоже требует пароль, но уже от текущей учетной записи, из-под которой выполняется эта команда.

Даже если допустить, что пароля у учетки апача нет, я даже не знаю как его учетка называется.
echo "$USER" выдает пустую строку.

Следовательно, я думаю, мне нужно:
1. Узнать имя учетки апача иным образом
2. Сделать, чтобы с нее не затребовался пароль при выполнении sudo
3. Добавить в sudoers, т.к. даже если ввести пароль, то при тесте пишет:

user2 is not in the sudoers file.

Разумеется, отладка вслепую или через > т.к. запускаю скрипт из-под php (ну или от терминала другого юзера).

P.S. Я очень не опытный юзер в linux shell, так что работаю только по мануалам, что нахожу в сети.
Если можно, объясните, пожалуйста, на пальцах, или посоветуйте, где что можно посмотреть.
--
В инете, видел совет запустить сервис апача от имени самого user1, но что-то мне эта идея не очень нравится.

Dmitry · 21.11.2019, 20:17

юзер, от имени которого пашет апач, обычно указан в его конфиге. например, для debian-based дистрибутивов это обычно www-data

@nezabudka · 21.11.2019, 23:55

Попробуйте раскоментировать вот эту строчку

Bash
1
#user1 ALL=NOPASSWD: /home/user1/script

А имя user1 заменить на имя пользователя от которого будет запускаться программа
в моем случае это nez под которым я логинелась в системе

Bash
1
nez ALL=NOPASSWD: /home/user1/script

запускаю так. Если необходимо чтобы скрипт был запущен от пользователя user1

Bash
1
sudo -u user1 /home/user1/script

Если от рута

Bash
1
sudo /home/user1/script

Надеюсь это поможет

greg zakharov · 22.11.2019, 09:56

Если не ошибаюсь, то в судоерах должно быть нечто вроде:

Bash
1
nobody ALL=NOPASSWD: /путь/до/скрипта

К самому скрипту должны быть применены разрешения вроде:

Bash
1
chown root:root /путь/до/скрипта

И чмод выставлен в 755. Можно, если не сработает, попытать счастья, как сказал Dmitry, с www-data:

Bash
1
www-data ALL=NOPASSWD: /путь/до/скрипта

Добавлено через 3 минуты
Сам скрипт запускать не через system, а exec:

Bash
1
exec("sudo /путь/до/скрипта");

Dragokas · 17.11.2020, 19:48 **[ТС]**

Прошел год, но лучше ответить поздно, чем никогда. Задачу так и не решил, и она снова актуальна.

Dmitry, спасибо. Да, так и есть, в /etc/apache2/apache2.conf => User ${APACHE_RUN_USER}, а в envvars => export APACHE_RUN_USER=www-data

greg zakharov, спасибо, но для начала попробовать бы разобраться хотя бы с запуском без пароля от имени другого (не апач) юзера.
chown и chmod пробовал применять, ничего не изменилось.

nezabudka, спасибо, но я именно так и делал в 1 посте.
# это я уже потом добавил, т.к. не сработало.
sudo или su, без разницы, все равно требует пароль.

Повторю ещё раз, пошагово.

Сейчас у меня: Debian 10 x64.
Вводим команды из под root:

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
adduser user1
<вводим пароль>
adduser user2
<вводим пароль>
su - user1
echo echo Hello World > script
chmod +x script
visudo
<добавляю в файл такую строчку>
user2 ALL=NOPASSWD: /home/user1/script
Ctrl + X, Y, ENTER
<вернулся в основную консоль>
su - user2
sudo -u user1 /home/user1/script
 
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
 
    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.
 
[sudo] password for user2:
^C
su user1 -c /home/user1/script
Password:

Как видите, не прокатывает. Что я делаю не так?

Заранее благодарен за любую помощь.

@Marinero · 18.11.2020, 09:02

Bash
1
2
su - user2
sudo /home/user1/script

Dragokas · 18.11.2020, 15:43 **[ТС]**

Marinero, не понял я вашего ответа.

Сообщение от Dragokas

Для теста, залогинился под user2, но при вводе:

Bash
1
su user1 -c ./home/user1/script

с меня все равно требуют пароль.

Мне нужно будучи залогиненным под user2 (а не root, как у вас), выполнить ./home/user1/script от имени user1. При этом, чтобы меня не спрашивали пароль учётки.
Если всё получится, я потом тоже самое проделаю будучи залогиненным под www-data, тем самым решив оригинальный вопрос сабжа.

Dmitry · 18.11.2020, 15:49

Code
1
man su

зы. возвращаясь к запуску баша через браузер. лично я (как считаю, в целях безопасности) практикую такое:

браузер тупо пишет (в туда, куда ему дозволено) некий конкретный файл с конкретным флагом
крон запускает баш-скрипт, который проверяет наличие этого файла. если файл есть / флаг в нем есть / флаг удовлетворяет какому-то требованию / и т.д. (зависит от степени паранои), выполняется нужное действие.
выполнив действие, скрипт удаляет файл с флагом

Dragokas · 18.11.2020, 15:57 **[ТС]**

Сообщение от Dmitry

Bash
1
man su

дак, а что толку с написанного Marinero?

Первая же строчка - ведет к запросу пароля:

Bash
1
2
user2@debian10x64:~$ su - user1
Password:

Прошу ткнуть пальцем, я же совсем не разбираюсь.

Сообщение от Dmitry

зы. возвращаясь к запуску баша через браузер. лично я (как считаю, в целях безопасности) практикую такое:
браузер тупо пишет (в туда, куда ему дозволено) некий конкретный файл с конкретным флагом
крон запускает баш-скрипт, который проверяет наличие этого файла. если файл есть / флаг в нем есть / флаг удовлетворяет какому-то требованию / и т.д. (зависит от степени паранои), выполняется нужное действие.
выполнив действие, скрипт удаляет файл с флагом

Сейчас не стоит вопрос безопасности.
Проверку через cron считаю не особо хорошим вариантом, т.к.:
- будут задержки между отправкой команды и ее исполнением
- доп. нагрузка
У меня безопасность реализована через передачу в php токена.
С другой стороны да, вы подсказали вариант обхода проблемы (без испольщования su).
Но хотелось бы это как-то по нормальному сделать.

Dmitry · 18.11.2020, 16:11

Сообщение от Dragokas

Прошу ткнуть пальцем, я же совсем не разбираюсь.

при чем тут "разбираюсть"?
вас "пнули в направлении"
вы не поняли, или даже не пытались понять
вы написали ранее, как настраивали использование судо пользователем юзер2, потом написали, что не проходит проверка, и задали вопрос "что я делаю не так?" пока все верно? так вот вам показали, что надо для "так" - чтобы срабатывало разрешение, настроенное для пользователя юзер2, СНАЧАЛА НУЖНО СТАТЬ ЭТИМ САМЫМ ПОЛЬЗОВАТЕЛЕМ (юзер2)! и команда su как раз и предоставляет такую возможность - ПЕРЕКЛЮЧИТЬСЯ НА ДРУГОГО ПОЛЬЗОВАТЕЛЯ! а пароль она - да, просит, причем просит обязательно! и пароль который она от вас хочет - это пароль (в данном случае) пользователя юзер2. И лишь став пользователем юзер2, вы сможете проверить, работают ли те разрешения судо, которые вы для него настраивали...

Добавлено через 1 минуту

Не по теме:

Сообщение от Dragokas

хотелось бы это как-то по нормальному сделать.

так вы почитайте, почему блочат в настройках пыха всевозможные "exec-и", "system-ы" и пр..., глядишь, и "нормальность" иной окажется

Добавлено через 3 минуты

Не по теме:

и кстати,

Сообщение от Dragokas

- доп. нагрузка

В ЧЕМ? крон-то на сервере с линуксом ВСЕ РАВНО ПАШЕТ ВСЕ ВРЕМЯ, вне зависимости от того, боитесь ли вы его использовать или нет...

Dragokas · 18.11.2020, 16:16 **[ТС]**

Сообщение от Dmitry

СНАЧАЛА НУЖНО СТАТЬ ЭТИМ САМЫМ ПОЛЬЗОВАТЕЛЕМ (юзер2)! и команда su как раз и предоставляет такую возможность

Дык, пост #7, строка #13.

Сообщение от Dmitry

и задали вопрос "что я делаю не так?"

А вопрос на счёт строки #14.

Не по теме:

Сообщение от Dmitry

так вы почитайте, почему блочат в настройках пыха всевозможные "exec-и", "system-ы" и пр..., глядишь, и "нормальность" иной окажется

Вроде как блочат когда входящие данные для exec/system берутся из входящих данных для пыха.
Если передавать туда жестко вшитую строку (или делать нормальные проверки), то наверно и нет смысла ничего такого блочить.

Не по теме:

Сообщение от Dmitry

В ЧЕМ? крон-то на сервере с линуксом ВСЕ РАВНО ПАШЕТ ВСЕ ВРЕМЯ, вне зависимости от того, боитесь ли вы его использовать или нет...

Каждую секунду выполнять проверку... Как-то не по фен-шую.
Но за вариант в любом случае спасибо. Воспользуюсь, если других не будет.

Dmitry · 18.11.2020, 16:18

Сообщение от Dragokas

Каждую секунду выполнять проверку...

вы о чем?

Dragokas · 18.11.2020, 16:21 **[ТС]**

cron умеет реагировать на появление файла как-то иначе, не возводя проверку по таймеру?

Dmitry · 18.11.2020, 16:22

Сообщение от Dragokas

Дык, пост #7, строка #13.

Сообщение от Dragokas

А вопрос на счёт строки #14.

мля, а прочесть там же 10-ю строку, да потом ПОПЫТАТЬСЯ мозг включить?
беспарольное разрешение выдано КОМУ? а в 14-й строке мы команду пытаемся выполнить как кто?

Dragokas · 18.11.2020, 16:24 **[ТС]**

Мда, теперь когда тыкнули, увидел, что запрашивает пароль от текущего пользователя (непонятно только нахрена, ну да и ладно), спасибо.

Сообщение от Dragokas

sudo -u user1 /home/user1/script
[sudo] password for user2:

Dmitry · 18.11.2020, 16:25

Не по теме:

Сообщение от Dragokas

cron умеет

омг! вот уж не ожидал, что "девелоперам" нужно разжовывать аж до такой степени. мой вопрос касался словосочетания

Сообщение от Dragokas

Каждую секунду

(а то ведь, согласно докам, крон отрабатывает каждую МИНУТУ....)

Dragokas · 18.11.2020, 16:29 **[ТС]**

Не по теме:

Послушайте я не работаю с Linux-ом так часто, чтобы это всё помнить.

Сообщение от Dmitry

(а то ведь, согласно докам, крон отрабатывает каждую МИНУТУ....)

ну дык, тем более. Вы предлагаете отправить команду и целую минуту ждать пока ее начнёт разбирать cron.

Сообщение от Dragokas

запрашивает пароль от текущего пользователя

Получается, чтобы это завелось, мне теперь еще и надо знать пароль от учётки Apach, который есть ли вообще(?), и хз где хранится.

@Marinero · 19.11.2020, 16:51

Dragokas, как-то у Вас смешалось все... Если Вы дали разрешения user2 (см visudo) зачем Вы скрипт выполняете от имени user1?

Сообщение от Dragokas

sudo -u user1 /home/user1/script

Новые блоги и статьи Все статьи Все блоги /
Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определенном условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .
My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .

Dmitry 13441 / 7534 / 831 Регистрация: 09.09.2009 Сообщений: 29,554
	21.11.2019, 20:17
	юзер, от имени которого пашет апач, обычно указан в его конфиге. например, для debian-based дистрибутивов это обычно www-data 0

Dragokas 18033 / 7736 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	18.11.2020, 16:21 [ТС]
	cron умеет реагировать на появление файла как-то иначе, не возводя проверку по таймеру? 0