PHP 透過 Sudo 執行 root 指令

最新推荐文章于 2022-09-12 10:18:16 发布
原创 最新推荐文章于 2022-09-12 10:18:16 发布 · 1.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #apache #freebsd #debian #service #server

本文介绍如何通过安装Sudo并在/etc/sudoers文件中配置特定权限,使PHP能够以root身份执行系统管理任务,如重启DNS服务。文章还提供了一个具体的例子,展示如何配置asterisk用户执行多种命令。

一直以來要用 PHProot 身份執行系統管理工作的問題,就是 PHP 會以 apache 的身份執行,解決方法有安裝 suPHP 或 super 這類工具,但個人認為還是 Sudo 較為安全。首先要安裝 Sudo,據我所知 RHEL, Ubuntu 已經內置,Debian 只要用 apt-get 安裝就可以,以下是 FreeBSD 的安裝方法:BSD爱好者乐园c} u0b ~fD{-~*NS

sK9| OFkFreeBSD 安裝 SudoBSD爱好者乐园,yaT gN i
# cd /usr/ports/security/sudoBSD爱好者乐园+J5T;i6|M0@8LA%w x
# make && make installBSD爱好者乐园| u/ J~%O/ah.y

_ B^:hTJ-W當系統有 Sudo 後,基於安全理由,不要直接編輯組態檔 /etc/sudoers,改用 visudo 來做編輯。visudo 為防止多個使用者同時修改,它會先鎖住 /etc/sudoers,並且確保組態檔的文法正確,一旦發現錯誤會拒絕儲存動作。
cxm c:v1j
$tYP,{ I YT假如你的 Apache 的執行身份為 apache,而想透過 PHP 重新啟動 DNS server,用 root 輸入指令 visudo,便會用 vi 開啟 /etc/sudoers,在檔案最底加上以下一行:
0N'{ y-sv.iTc+zBSD爱好者乐园3hzmk5_3yg'NS
apache ALL=NOPASSWD:/etc/rc.d/init.d/namedBSD爱好者乐园o]5cNJ A0bR7K:BkYY
BSD爱好者乐园6o5c4Fki[kH2N#`A
儲存後可以在 PHP 以 root 身份執行 /etc/rc.d/init.d/named,包括開啟、停止及重新啟動:
I-zg|3mi'SkBSD爱好者乐园 h|)v0^,V+C5U#]
PHP:
S7NTN1jj,wIQb8N<?phpBSD爱好者乐园mP9mm E3|#a(h
// 開啟 named
)b I UxM$output = shell_exec("/usr/bin/sudo /etc/rc.d/init.d/named start");
/hVT*[+J{ R decho $output;BSD爱好者乐园3EZ]q)X&}(ab q!d
?>BSD爱好者乐园^$|R j[
上面的 /usr/bin/sudo 是 sudo 的可執行檔,需要根據自己的安裝目錄進行修改。以上只是個簡單的例子,你可以根據你的需要執行其他管理動作,但如果 web server 是多人共用,那麼在使用 Sudo 時要加倍小心。

 

我的用法:

s1000 系统 asterisk  用户  添加执行 可执行的命令:

1》su asterisk

2》sudo -l  (列举asterisk  用户可执行的命令)

3》su root

4》visudo   例如 添加 可执行 sh  命令可执行脚本    asterisk ALL = NOPASSWD: /bin/sh

    具体语法格式:  ## Allows members of the users group to shutdown this system
  # %users  localhost=/sbin/shutdown -h now

      asterisk ALL = NOPASSWD: /sbin/shutdown
      asterisk ALL = NOPASSWD: /usr/bin/nmap
      asterisk ALL = NOPASSWD: /usr/bin/yum
      asterisk ALL = NOPASSWD: /bin/touch
      asterisk ALL = NOPASSWD: /bin/chmod
      asterisk ALL = NOPASSWD: /bin/chown
      asterisk ALL = NOPASSWD: /sbin/service
      asterisk ALL = NOPASSWD: /sbin/init
      asterisk ALL = NOPASSWD: /sbin/route
      asterisk ALL = NOPASSWD: /bin/hostname
      asterisk ALL = NOPASSWD: /usr/sbin/postmap
      asterisk ALL = NOPASSWD: /usr/sbin/postfix
      asterisk ALL = NOPASSWD: /usr/sbin/saslpasswd2
      asterisk ALL = NOPASSWD: /bin/date
      uucp     ALL = NOPASSWD: /bin/chmod
      asterisk ALL = NOPASSWD: /usr/sbin/genzaptelconf
      asterisk ALL = NOPASSWD: /sbin/chkconfig
      asterisk ALL = NOPASSWD: /bin/mount
      asterisk ALL = NOPASSWD: /bin/umount
      asterisk ALL = NOPASSWD: /bin/cp
      asterisk ALL = NOPASSWD: /bin/sh
      asterisk ALL = NOPASSWD: /bin/rm

 

 

 asterisk之中使用: exec("sudo -u root chmod 757 $this->dirHylafaxConf");
             exec("sudo -u root chmod 646 $archivoHylafax");

            exec("sudo -u root service iaxmodem restart");
             exec("sudo -u root service hylafax restart");
             exec("sudo -u root init q");

             exec("sudo -u root saslpasswd2 -d $username@".SASL_DOMAIN);

 

 

 

 

 

ThinkAdmin列目录/任意文件读取(CVE-2020-25540 )漏洞复现及环境搭建
yzl_007的博客
08-03 3158
ThinkAdmin列目录/任意文件读取(CVE-2020-25540 )漏洞复现 漏洞介绍 ThinkAdmin 是基于 ThinkPHP后台开发框架,在ThinkAdmin v6版本存在路径遍历漏洞,该漏洞可以利用GET请求编码参数读取远程服务器上任意文件。 影响范围 Thinkadmin ≤ 2020.08.03.01 v5(任意文件读取) v6(列目录,任意文件读取) ThinkAdmin6环境搭建 这里我使用的是kali linux靶机来搭建环境 1、安装php环境 查看版本发现没有,按照要求
在Ubuntu上使用LAMP安装WordPress
m0_74169074的博客
10-14 1814
在开始之前我们要先查看ssh服务的状态,确保其能远程连接。设置 LAMP 的第一步是安装和配置 Apache 服务器。首先,我们需要在系统上更新并升级包列表,并将包升级到最新版本。如果请求输入密码,输入您的 VPS root 密码,然后按 Enter 键。接下来再运行以下命令安装apache2输入如下命令检查防火墙的配置文档输出结果如下图所示为了让 WordPress 与 MySQL 数据库链接并显示动态内容,PHP 是必需的。您还需要安装额外的 PHP 扩展来支持 WordPress。
php实现linux命令,PHP在Linux下运行Shell命令
weixin_39542608的博客
03-09 332
原本在本机开发PHP的时候,Shell调用一切正常。上线的时候才反应到线上的服务器对权限做了严格的控制,一顿折腾之后梳理出在严格权限控制的Linux上如何通过Nginx/Apache 以Web的方式调用Shell命令,比如调用java编译或者执行java程序。Web服务器使用www用户启动。分为两种情况:一种是命令是通过root安装的,并不能直接把权限直接赋给www用户,比如/usr/local/...
Windows命令无法运行报错:is not recognized as an internal
热门推荐
weixin_33857230的博客
05-17 6万+
发现bat文件即使手动运行也无法成功,于是打开CMD验证,输入命令提示如下错误: “command” is not recognized as an internal or external command, operable program or batch file. 然后发现任何CMD命令都无法识别 原因:电脑用户环境设置有问题,到如下位置修改: 鼠标右键点击 My Computer-&gt...
xxx is not recognized as an internal
junjiahuang的博客
09-10 2524
执行某个命令报错 需要如下操作: 我的电脑->右击,属性->左边的,高级系统设置->最下面的,环境变量->最上面的,用户变量->Path->没有则添加上%SystemRoot%\system32 最后记得点确定。然后重新开一个cmd执行命令。 ...
Err: 'ping' is not recognized as an internal
weixin_34146986的博客
10-19 1494
windows 下的ping命令突然不能用了: 原因:此前在安装JDK时,将%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin以新添加的 “path”变量的方法加入系统变量,导致原来的系统变量被覆盖(应该在原有path中添加JAVA 的执行路径) 解决方法:重新将%SystemRoot%\system32\加入path变量(如果只有一个路径,不要忘了最后加分号) ...
解决‘telnet‘ is not recognized as an internal or external command, operable prog
xiaoyao_zhy的博客
09-12 8590
问题描述:本来想用dos下面的telnet监听一下某端口,结果出现以以下问题。原因是因为好像在默认情况下windows10系统不会自动安装该文件。2.点击启动或关闭Windows功能。1.打开控制面板,找到程序和功能。4.记得重启dos界面。
鸟哥的Linux私房菜基础篇第三版 -- 目录
Java之旅
09-27 8833
服务器端使用的OS,Linux是最最常用的,所以,日常的部署、排查问题,就不可避免的与Linux打交道,日积月累,对Linux就有了多多少少的了解。 反过来,再系统的从头开始,读一本关于Linux基础的书籍,可以进行知识的串联,把一些原先“知道其然”的东西,进化成“知其所以然”。 同时,由于有了相当多的Linux操作基础,对于书籍的阅读很快速,对照实操,事半功倍。 鸟哥,是个台湾人,其“私房菜”系列,本来是其Linux的学习过程,记录成Blog(就像学习笔记、心路历程),然后慢慢的深化、系统,就形成了这个
Linux 私房菜 笔记(完结)
qq_57065913的博客
03-14 4148
目录 第一章 计算机概论 第一章 计算机概论
【渗透测试】VulnHub-Raven: 2
m0_52923241的博客
11-02 3358
VulnHub-Raven: 2VulnHub-Raven: 2渗透详细思路小知识点常用工具篇 VulnHub-Raven: 2渗透详细思路 VulnHub-Raven: 2渗透详细思路 nmap找目标ip地址,扫可以试用的开放端口和服务(22、80、111) dirb进行目录的爆破扫描 找漏洞,发现PHPMailer 邮件服务 searchsploit查看漏洞利用点,下载到本地,修改参数并运行 小知识点 常用工具篇 ...
解决hadoop在windows运行出现的bug
01-11
如果出现如下bug:“Could not locate executable null\bin\winutils.exe in the Hadoop binaries”,则下载该文件,放入hadoop的bin文件夹下,并设置环境变量HADOOP_HOME:E:\hadoop2.2.0\bin即可。
Is not recognized as an internal or external command
Martin_Cheng的专栏
01-04 2104
is not recognized as an internal or external command【环境变量】
weixin_43814775的博客
01-02 3万+
is not recognized as an internal or external command 这是有关环境变量的问题 1. 依次打开 此电脑–> 属性 2.高级系统设置–> 环境变量 3.点击这个Path 4.新建你想用到的安装目录 配置到 环境变量即可 Tip:存到系统变量或者用户变量都可以,只是执行的优先级不一样而已. 有关系统变量&用户变量 请查看这个链接???? ...
linux中的root命令,Linux命令Man解释:SUDO(8):以root身份执行指令
weixin_33215027的博客
04-29 585
名称sudo-以超级使用者(superuser;root)的身分执行指令visudo-编辑sudoers档案语法sudocommand描述Sudo允许经过同意的使用者以超级使用者的身分执行指令Sudo参考/etc/sudoers这个档案来判定谁是被授权的使用者。Sudo将会提示使用者输入密码来启始一段N分钟的允许时间(其中N是在安装的时候定义的且预设值为5...
win7bat脚本首行报错is not recognized as an internal or external command
淡泊明志,宁静致远
11-08 2万+
bat脚本第一行不管是什么都报错,如is not recognized as an internal or external command 显然不是什么什么环境变量和命令错误的问题,最后将编码由utf-8变为ansi后问题解决
VS code 配置python环境问题:'cmd' is not recognized as an internal or external command
bsbhenry的专栏
11-17 3万+
问题 配置好环境后,对python进行debug时,出现问题 'cmd' is not recognized as an internal or external command 解决方法 看了错误信息之前的提示,感觉应该是执行python程序之前,执行的cmd /C 命令发生错误。 搜索到cmd /c dir:是执行完dir命令后关闭命令窗口。在windows命令窗口输入cmd,发...
'django-admin.py' is not recognized as an internal or external command
wengyupeng 蜗牛一步一步向前。。。
08-02 4547
'django-admin.py' is not recognized as an internal or external command
’javac’ is not recognized as an internal or external command,operable program or batch file.
Love is smiling
05-29 4344
【问题】 windows的cmd下运行javac结果出错: D:\DevRoot\IndustrialMobileAutomation\HandheldDataSetter\ANTLR\projects\demoHello>javac Hello*.java ‘javac’ is not recognized as an internal or external command,
解决'keytool' is not recognized as an internal or external command,operable program or batch file.有效方案
fynzhy的博客
05-03 4857
在获取SHA1码是遇到这个问题, 解决方案: 手动定位到keytool所在目录: C:\Program Files (x86)\Java\jre1.8.0_191\bin> .\keytool -list -v -keystore "C:\Users\doudou\.android\debug.keystore" -alias androiddebugkey -storepass andro...
linux sudo执行指令,跟切换root执行指令有什么不一样
最新发布
10-22
<think>嗯,用户想了解Linux系统中sudo执行指令和切换root用户执行指令的区别。这是一个很实用的问题,我之前回答过类似的内容,但这次结合了新的引用资料,可以更全面地解释。 我注意到用户提供了几个引用资料,其中[^1]和[^4]提到了su和sudo的基本用法,[^2]强调了安全性的区别,[^3]则重点比较了密码机制和权限分配。这些资料都很专业,需要整合起来回答。 用户可能是个Linux初学者或中级用户,正在学习系统管理。ta特意强调"不是用户真正的需求",说明ta希望得到针对性的解答,而不是泛泛而谈。从问题表述看,ta已经知道基本概念,现在需要深入理解差异点。 在整理区别时,我觉得应该突出几个关键维度:安全性(密码流向、日志记录)、环境变量继承、权限范围、密码策略。引用[^3]提到的密码保护观点特别重要——sudo避免root密码泄露这点很实用。[^4]说的环境变量差异也需要解释清楚,这对实际开发很重要。 安全方面要强调sudo的最小权限原则,引用[^2]的root风险警告可以支持这个观点。执行方式差异上,准备用表格对比会更清晰。还要提醒sudo可能覆盖环境变量的问题,引用[^4]正好提供了技术细节。 最后考虑补充使用场景建议:日常维护用sudo,系统级操作临时su。这点虽然引用没直接说,但符合所有资料的安全倡导。提问环节可以引导用户思考权限配置,比如如何限制sudo命令范围,这能帮ta深化理解。 用户没问但可能想知道的是:如何配置sudoers文件?不过当前回答已经够全面了,这个问题留给后续提问更合适。 </think>在Linux系统中,`sudo`执行指令和`su`切换root执行指令的核心区别体现在**权限范围、安全性、密码机制和环境继承**等方面,具体对比如下: --- ### **核心区别对比表** | **特性** | **sudo [命令]** | **su - / sudo -i** | |------------------------|----------------------------------|----------------------------------| | **权限范围** | 授予特定命令的root权限 | 获得完整的root会话权限 | | **密码验证** | 输入当前用户密码 | 输入root用户密码 | | **安全性** | ⭐⭐⭐⭐<br>最小权限原则,操作可审计 | ⭐⭐<br>完整root权限,易误操作 | | **环境变量** | 继承当前用户环境 | 加载root的环境变量(如`/etc/profile`) | | **操作日志** | 详细记录每条命令(`/var/log/auth.log`) | 仅记录登录事件 | --- ### **详细说明** #### 1. **权限范围与安全性** - **`sudo [命令]`** 仅针对**单条命令**临时赋予root权限(需在`/etc/sudoers`中配置允许的命令)。 ✅ **优势**:遵循最小权限原则,降低误操作风险;所有操作关联当前用户名,便于审计[^2][^3]。 ❌ **局限**:复杂任务需每条命令前加`sudo`。 - **`su -` 或 `sudo -i`** 直接切换到**完整的root会话**,获得所有权限。 ️ **风险**:长时间使用root易触发误删系统文件等严重事故;且若多人共用root密码,无法追溯具体操作人[^3][^4]。 > 📌 **关键点**:生产环境中优先用`sudo`,仅在必须完整root环境时(如修改全局配置)临时切换[^2][^3]。 #### 2. **密码机制差异** - **`sudo`**:验证**当前用户密码**,避免root密码扩散[^1][^3]。 - **`su`**:需输入**root密码**,多人维护时密码泄露风险高[^3]。 #### 3. **环境变量影响** - **`sudo command`** 继承当前用户的环境变量(如`PATH`),可能导致部分命令路径错误[^4]。 - **`sudo -i` 或 `su -`** 加载root的环境配置(读取`/etc/profile`等),确保系统级路径生效[^4]。 > ✨ **示例场景**: > 执行需特定环境变量的脚本时,`sudo ./script.sh` 可能失败,而 `sudo -i ./script.sh` 可正常运行。 #### 4. **审计与责任追溯** - **`sudo`**:在系统日志中记录**执行命令的用户、时间、具体命令**(如 `bob : TTY=pts/0 ; COMMAND=/usr/bin/rm /tmp/file`)[^2][^3]。 - **`su`**:仅记录用户切换事件,无法追踪具体操作[^3]。 --- ### **如何选择?** | **场景** | **推荐方式** | **原因** | |-------------------------|-------------------|----------------------------------| | 单次管理命令(如安装软件) | `sudo apt update` | 最小权限 + 审计追踪 | | 调试需root环境的脚本 | `sudo -i` | 确保加载root环境变量 | | 紧急系统修复(多人协作) | `su -` | 快速获得完整权限(临时使用) | --- ### **最佳实践建议** 1. **禁用root远程登录**,强制通过`sudo`提权[^2][^3] 2. **精细控制`sudoers`权限**: ```bash # /etc/sudoers 示例:允许用户alice仅重启服务 alice ALL=(root) /usr/bin/systemctl restart nginx ``` 3. 敏感操作前使用`sudo -k`清除凭据缓存,避免未授权访问。 --- ### **相关问题** 1. 如何配置`/etc/sudoers`文件以限制用户只能执行特定命令? 2. 使用`sudo`时遇到 **"Command not found"** 错误可能是什么原因? 3. 为什么生产环境推荐禁用root的SSH登录?如何操作? 4. `sudo`和`su`的密码验证失败次数限制如何设置? > 引用文献: > [^1]: Linux切换用户:su与sudo的区别 > [^2]: rootsudo的安全对比 > [^3]: sudo如何通过密码机制提升安全性 > [^4]: 环境变量对权限切换的影响
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值