以 root 用户身份从 php 执行 shell 脚本？

Question 1

我强烈反对从网络服务器运行具有更高权限的东西总是一个坏主意。

Web 应用程序的安全问题来自于对用户提供的数据的信任，而不是来自使用该数据的确切进程。

换句话说，如果您不验证和清理您的数据，那么没有更安全通过命名管道将其传递给 root 拥有的进程，而不是编写一个包装脚本来处理该数据并允许 www-data 用户通过 sudo 运行它。

实际上，大部分数据处理/验证/清理应该在数据传递到 sudo 脚本之前完成，这应该 a) 对数据进行最终检查，b) 执行仅有的需要更高权限的操作。

事实上，我认为后者可能更安全，因为这是一个更简单的解决方案，更容易理解……你做的事情越复杂，你就越有可能犯错误。

无论您使用哪种方法（命名管道、sudo 包装器或其他）至关重要的事情是你检查用户提供的数据并确保它符合非常狭窄的定义标准，然后再执行任何事物用它。

网络上有许多关于 CGI 安全性的文章和指南，其中包括 stackexchange 网站上的几篇文章和指南，但一些常见主题是：

在您检查和/或修改数据以确保其安全之前，将数据视为“受污染”且不可信。
检查数据 - 例如测试它是否与允许或禁止字符的正则表达式匹配。最安全的选择是在出现任何奇怪的情况时中止，否则使用正则表达式或其他内容进行转换以删除潜在的不安全元素。
总是如果将数据传递给外部 shell 脚本，则引用数据。例如，shell 脚本应该在变量周围使用双引号。
同样，当将数据插入数据库时，您应该使用支持占位符值的数据库库，而不是依赖于转义或引用。这里这是一个幽默的说明。

我可以继续说下去，但是这里的答案有太多需要总结的内容 - CGI 安全性是一个广泛的主题。尝试用谷歌搜索CGI安全或者验证 CGI 输入

你对安全的态度是“我不在乎，因为只有我在用它”，我感觉就像是我在给你一把上膛的猎枪，让你用它来炸掉你的脚，但搬起石头砸自己的脚是一次宝贵的学习经历。这是创建用户帐户的简单脚本。它需要 root 权限。

该脚本依赖于 adduser，它在 debian 和 debian 派生系统以及其他系统上可用。如果您的系统上没有，请修改为使用 useradd。

#! /bin/bash 

# make the script abort on any error
set -e

U="$1"
P="$2"

[ -z "$U" ] && echo "Error: No username provided" >&2 && exit 1
[ -z "$P" ] && echo "Error: No password provided" >&2 && exit 1

# simple check - only allow lower-case letters and digits in usernames.
[ "$U" !~ '^[a-z0-9]*$' ] && echo "Error: Invalid Username" >&2 && exit 1

# create user if they don't already exist
if ! getent passwd "$U" > /dev/null ; then

   # create the user using adduser, must provide the gecos field 
   # and disable the password so adduser doesn't ask for them. 
   adduser --gecos "$U" --disabled-password "$U"

   # now change the password
   echo "$U:$P" | chpasswd
else
    echo "Error: Username already exists" >&2
    exit 1
fi

将脚本保存在某处，并使用 chmod 使其可执行。

要允许 www-data 以 root 身份运行而无需密码，请编辑 /etc/sudoersvisudo并添加以下内容：

Cmnd_Alias APACHEADDUSER = /path/to/makeaccount.sh

www-data ALL = NOPASSWD: APACHEADDUSER

Answer