Будет ли угрозой безопасности создание приложения Automator для запуска Plone?
Для того, чтобы сделать решение запуска "одним щелчком" для Plone на выделенном веб-сервере Mac, я хотел бы создать приложение Automator. Цель этого заключается в том, чтобы запустить его при входе в систему, чтобы в случае сбоя питания компьютера или необходимости перезапуска для обслуживания Plone автоматически запускался после повторного включения машины. Тем не менее, поскольку установка будет выполнена с правами root, пользователь и ".../zeocluster/bin/*" должны быть благословлены в sudoers, чтобы запускаться без пароля для запуска plonectl.
Основной вопрос: большой ли риск безопасности на рабочем сервере для добавления / bin / * к sudoers?
1 ответ
Zope запустится как root, но не будет работать как root. После подключения к порту он изменяется на действующего пользователя, указанного в вашей сборке.
Тем не менее, если вам не нужно привязаться к привилегированному порту (например, к порту 80 или 443), я бы постарался не запускать Zope от имени root. Это просто не нужно, и это увеличивает поверхность атаки. По той же причине я бы не использовал automator для приложения, которое запускается от имени пользователя root.
Вместо этого взгляните на каталог init_scripts в Unified Installer. В нем приведены примеры сценариев запуска и списки пакетов для OS X. Они не затрагивались в течение длительного времени, поэтому есть хороший шанс, что вам нужно будет отредактировать, чтобы соответствовать фактическим командам запуска. Я также хотел бы, чтобы это был sudo для эффективного пользователя, а не для запуска с правами root. Так:
sudo -u plone_daemon /usr/local/Plone/zeocluster/bin/plonectl start
Скорректировано в соответствии с местом установки.