Afin de créer une solution de démarrage en un clic pour Plone sur un serveur web Mac dédié, je voudrais créer une application Automator. Le but de ceci serait de pouvoir être lancé lors de la connexion de sorte que si l'ordinateur rencontre une panne de courant ou doive redémarrer pour maintenance, Plone démarrera automatiquement une fois la machine mise sous tension. Cela dit, parce que l'installation serait en tant que root, l'utilisateur et ".../zeocluster/bin/*" devraient être bénis dans sudoers pour pouvoir s'exécuter sans avoir besoin d'un mot de passe pour démarrer plonectl. Question de base: est-ce un énorme risque de sécurité sur un serveur de production d'ajouter/bin/* à sudoers?Serait-ce un risque pour la sécurité de créer une application Automator pour démarrer Plone?
Répondre
Zope va démarrer en tant que racine, mais ne exécuter en tant que racine. Une fois connecté au port, il est remplacé par l'utilisateur effectif spécifié dans votre buildout. Cela dit, à moins que vous ayez besoin de vous lier à un port privilégié (comme le port 80 ou 443), j'essayerais d'éviter de démarrer Zope en tant que root. Ce n'est tout simplement pas nécessaire, et cela augmente la surface d'attaque. Pour la même raison, j'éviterais d'utiliser automator pour une application qui démarre en tant que root.
Jetez plutôt un coup d'œil au répertoire init_scripts dans le programme d'installation unifiée. Il contient des exemples de scripts de démarrage et de listes d'empaquetage pour OS X. Ceux-ci n'ont pas été touchés depuis longtemps, il y a donc de bonnes chances que vous ayez besoin d'éditer pour correspondre aux commandes de démarrage réelles. Je l'aurais aussi sudo à l'utilisateur effectif plutôt que de commencer en tant que root. Donc:
sudo -u plone_daemon /usr/local/Plone/zeocluster/bin/plonectl start
Ajusté à votre emplacement d'installation.