(AWS) implications de sécurité de l'ajout d'une exclusion pour l'utilisateur: wsgi dans sudoers

Alors que la mise en place d'un script pour convertir des documents au format PDF à l'aide de LibreOffice sur AWS, je ne peux pas LibreOffice à --convert-to pdf sans sudo comme peut-être l'utilisateur wsgi ne avoir des autorisations en écriture sur le répertoire /opt/python/current/app.(AWS) implications de sécurité de l'ajout d'une exclusion pour l'utilisateur: wsgi dans sudoers

donc je prévois de résoudre ce problème en ajoutant la ligne suivante dans le fichier /etc/sudoers:

wsgi ALL = NOPASSWD: /opt/libreoffice5.3/program/soffice.bin

Comme je veux automatiser ce tout en déployant, dans mon .ebextensions/01_packages.config je

container_commands: 
    01_edit_sudoers_only_once: 
     command: "echo 'wsgi ALL = NOPASSWD: /opt/libreoffice5.3/program/soffice.bin' >> /etc/sudoers" 
     test: "test ! -f .sudoers_edited" 

    02_mark_sudoers_as_edited: 
     command: "touch .sudoers_edited"

est-il un problème de sécurité potentiel avec cela?

Source

2017-06-14 Pranab

Appartient-il plutôt à serverfault? – Pranab

Il existe un problème de sécurité potentiel important en donnant à un processus de service Web la possibilité d'invoquer des choses avec sudo.

L'autorisation d'écrire dans des répertoires contenant du code serait également dangereuse.

Vous avez vraiment besoin d'identifier ce qui est refusé et pourquoi cela compte. Si les messages d'erreur ne sont pas suffisamment clairs, vous pouvez utiliser strace pour observer les appels système des processus et les erreurs qui en résultent.

Source

2017-06-14 12:09:20

+1 pour l'embout. Je vais essayer de comprendre pourquoi ça ne marche pas sans sudo. Aussi, je vais écrire les fichiers PDF dans un répertoire distinct en dehors des répertoires de code. – Pranab

(AWS) implications de sécurité de l'ajout d'une exclusion pour l'utilisateur: wsgi dans sudoers

Répondre

Questions connexes