低いポート番号(80と443)を許可するためにApacheをrootとして実行する本番CentOSサーバーがあります。
私たちは、root以外のユーザーが安全な方法でApacheを再起動できることを願っています。
sudoersファイルにこのような内容を追加すると、セキュリティに影響はありますか?
username ALL=NOPASSWD:/usr/bin/service apache2 reload
特に、ユーザーが自分の権限を増やしたり、他のプログラムをrootとして実行したりする方法があるかどうかを知りたいです。
ベストアンサー1
apacheusers2グループに属するユーザーにいくつかの権限制御を許可しますが、root権限を付与したくないとします。
次へ追加/etc/sudoers
%users2 keep ALL=NOPASSWD: /sbin/service httpd,/etc/init.d/httpd,/usr/sbin/apache2ctl
再起動したい場合は、apacheすべてです。
%users2 ALL=NOPASSWD: /sbin/service httpd restart,/etc/init.d/httpd restart,/usr/sbin/apache2ctl restart
ユーザーはどのコマンドが利用可能かを確認できますsudo。
sudo -l
Apacheを再起動するには、実行が許可されているコマンドを正確に入力する必要があります。例:
sudo /sbin/service httpd restart
セキュリティ上の理由から、sudoers ファイルでコマンドのフルパスを定義することをお勧めします。