форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы WEB технологии (Public)
Изначальное сообщение		[ Отслеживать ]

"Нужен безопасный механизм RPC"

Сообщение от pentarh (ok) on 22-Янв-08, 13:05

Есть сервер #1, на нем стоит веб-интерфейс, в веб-интрефейсе есть кнопка. По ее нажатию надо произвести сиюминутное рутовое телодвижение на сервере #2. suid'ный скрипт дергать на сервере #2 не хочу ssh через пубкей дергать не хочу, ключу надо давать права на чтение с юзера www - опасно однако. Есть варианты?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Нужен безопасный механизм RPC"

Сообщение от Аноним on 22-Янв-08, 15:16

>suid'ный скрипт дергать на сервере #2 не хочу Зачем спрашивать, если ничего не хочется делать? Как понимаю выполнить команду из под рута?, тогда подругому - никак, кроме как писать суидный скрипт. Можно его обезопасить, заставив выполнять команды по переданному идентификатору команды, а если нужно еще и параметры передать - проверять валидность данных.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Нужен безопасный механизм RPC"

Сообщение от angra (ok) on 23-Янв-08, 01:41

Демон запущенный от рута и слушающий сокет. Желательно с авторизацией, ssl и ограниченным набором комманд

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Нужен безопасный механизм RPC"

Сообщение от anonymous (??) on 23-Янв-08, 06:32

>ssh через пубкей дергать не хочу, ключу надо давать права на чтение >с юзера www - опасно однако. Абсолютно не опасно, если: * ограничить по ИП хосты, с которых этот ключ будет принят на целевой машине * заходить по ssh не рутом, а юзером.  Потом sudo безпарольное, которое настроено для этого юзера ровно на одну команду.  Остальные команды кроме sudo можно отключить, гуглите restricted shell или сами нарисуйте скриптик в десяток строк, который поставите вместо шелла.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Нужен безопасный механизм RPC"
	Сообщение от pentarh (??) on 23-Янв-08, 13:22
	>* ограничить по ИП хосты, с которых этот ключ будет принят на >целевой машине А можно об этом подробнее пожалуйста?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Нужен безопасный механизм RPC"
	Сообщение от anonymous (??) on 23-Янв-08, 15:57
	>>* ограничить по ИП хосты, с которых этот ключ будет принят на >>целевой машине > >А можно об этом подробнее пожалуйста? $ man authorized_keys ... from="pattern-list"     Specifies that in addition to public key authentication, the canonical name of the remote host...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Нужен безопасный механизм RPC"
	Сообщение от pentarh (??) on 23-Янв-08, 16:11
	>$ man authorized_keys >... >from="pattern-list" >    Specifies that in addition to public key authentication, >the canonical name of the remote host... блин, зачот :) то что надо, спасибо!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]