Редактирование данных cron из php - Форум успешных вебмастеров - GoFuckBiz.com

medar · 18.04.2008, 14:31

Надоело лазать в ssh на серваках для редактирования крона, решил сделать скрипт на php. Но столкнулся с траблом - хочу вывести текущий крон командой

PHP код:


			
system("crontab -u username -l >out.txt");

- файл out.txt создается, но не заполняется. Если из консоли эту команду запустить - все нормально. Подумал, что прав каких-то апачу на это не хватает (php стоит как модуль апача), перенес скрипт в отдельную папку, назначил ей владельца nobody - все равно не работает.

Может, кто сталкивался, из-за чего это может быть?
Может, какое готовое решение по управлением кронтабом из php есть ?

arachno · 19.04.2008, 14:19

gcc, вообще-то как раз suexec считается несекурным

правда позволять php записывать задания для рутового скрипта - тоже нихуя не секурно :lol: :lol:

alexf2000 · 19.04.2008, 14:19

А что будет если на датацентр случайно упадёт тунгусский метеорит? Естественно записть в этот файл должна быть защищена логикой скрипта. Если эту логику обойти, то будет тоже самое как если кто-то запишет это "случайное" через sudo или зайдя рутом.

~~gcc~~ · 19.04.2008, 14:35

Цитата:

Сообщение от alexf2000

А что будет если на датацентр случайно упадёт тунгусский метеорит? Естественно записть в этот файл должна быть защищена логикой скрипта. Если эту логику обойти, то будет тоже самое как если кто-то запишет это "случайное" через sudo или зайдя рутом.

ну судя по твоим словам, апач у тебя с правами nobody. то есть права на файл должны позволять юзеру nobody писать в файл. И _любой_ скрипт выполняемый апачем будет иметь право писать в файл.

alexf2000 · 19.04.2008, 15:21

Первая строка в файле - пароль. Кроновый батник читает файл, отделяет первую строку и делает md5 или ещё какое-то преобразование по вкусу. Если результат ему нравится, то всё что кроме первой строки - импортируется. Можно добавить контрольную сумму, чтобы хакер не мог дописаться к существующему файлу. Суть решения это никак не меняет. Для типичной ситуации типа "неуловимый Джо" всё это вообще не нужно, можно просто месторасположение файла немножко спрятать.

~~gcc~~ · 19.04.2008, 15:45

а может легче все таки выполнять php от текущего юзера? не?

alexf2000 · 19.04.2008, 16:50

Ты решения с текущим юзером так и не дал, отсюда вывод что не легче.

~~gcc~~ · 19.04.2008, 18:12

ну так uid из вывода <?php system('id'); ?> будет равен uid из вывода /usr/bin/id
какое там надо еще решение?

alexf2000 · 19.04.2008, 18:28

Очевидно что должен прилагаться нестандартный конфиг апача, запускающий пхп под нужным юзером для нужного домена. Возможно и сам апач придётся перекомпилировать. Моё решение будет работать на любом Центосе/Федоре "из коробки" со всеми вытекающими очевидными удобствами, а чтобы твоё заработало, нужен как минимум другой конфиг. Будет конфиг, можно будет сравнить, что легче.

~~gcc~~ · 19.04.2008, 18:30

то есть секурность мы не рассматриваем?
ты видать админ локалхоста

зы. сервера на федоре рулят, да. тестовое глюкавое поделие для обкатки нововведений rh на юзерах.
зыы. ничего компилировать не надо, это же rpm based дистр

alexf2000 · 19.04.2008, 18:37

Слив засчитан.