Par mesure de sécurité il est fortement conseillé d’exécuter ces crons sous un autre utilisateur que root. Dans le cas où vous faites de la maintenance sur des serveurs ne vous appartenant pas, cela devient vite un casse tête de trouver quel utilisateur exécute ces tâches ?

A titre de rappel, la commande pour lister les cron job de l’utilisateur courant :

# crontab -l

Pour lister les cron job d’un autre utilisateur que l’utilisateur courant :

# crontab -u nom_utilisateur -l

A condition toutefois d’avoir les droits de lecture sur le fichier, ce qui peut ne pas être le cas pour tous les utilisateurs.

Je vous propose de lister les tâches de tous les utilisateurs (listés dans /etc/passwd). Définissons un alias depuis l’utilisateur root :

# alias cronall='for user in $(cut -f1 -d: /etc/passwd); do echo -e "\n\n==> $user:" && crontab -u $user -l; done'

Il vous suffit ensuite de faire appel à cronall :

# cronall

==> root:
# m h  dom mon dow   command
30 23 * * * df >> test_blogmotion.fr

==> daemon:
no crontab for daemon

==> bin:
no crontab for bin

==> sys:
no crontab for sys

==> sync:
no crontab for sync

==> mail:
no crontab for mail

==> www-data:
no crontab for www-data

==> backup:
no crontab for backup

Les tâches sont listées par utilisateur, plutôt pratique. Dans mon cas, seul l’utilisateur root possédait un cron job.

Attention : ce script ne fonctionne pas sur les crons périodiques (cron.daily, cron.weekly, etc.) qui sont dans des répertoires distincts et non liés à un utilisateur mais au système. Pour lister ces crons une commande simple suffira pour trouver ce que vous cherchez :

cat /etc/cron.d/* | grep "votre recherche"

De même que pour lister tous les scripts (sans le contenu) :

ls -al /etc/cron.*

Source d’inspiration du premier script

Article original écrit par Mr Xhark publié sur Blogmotion le 13/11/2009 | 5 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Nous allons dans cet exemple redémarrer le service DNS (Bind9) grâce à un formulaire html exécutant cette fameuse commande via un bout de code PHP.

Identifier l’utilisateur Apache

Les scripts PHP interprétés par Apache sont exécutés par un utilisateur système. Généralement il s’agit de « www-data« , mais il peut varier selon les distributions et configurations. Pour récupérer ce nom d’utilisateur vous avez trois solutions :

1. Ouvrir le fichier de configuration Apache « apache2.conf« , généralement situé dans /etc/apache2/apache2.conf (si vous le ne trouvez pas faites un « locate apache2.conf » il devrait vous indiquer son emplacement). Dans le premier quart tu fichier vous devriez trouver l’information voulue :
2. Ouvrir le fichier des utilisateurs systèmes /etc/group/ et cherchez celui qui semble correspondre
3. Lancer le service Apache (en root : /etc/init.d/apache2 start) puis faites un : ps aux | grep apache2. Vous devriez avoir le nom d’utilisateur sous lequel le service fonctionne.

Le fichier sudoers

Nous allons utiliser la commande sudo qui va permettre à l’utilisateur Apache (www-data pour mon cas) de lancer une commande qui n’est habituellement exécutable qu’en root. Je vous conseilel de lire cette documentation si vous n’avez jamais entendu parlé de sudo.

Editez le fichier /etc/sudoers via la commande visudo (il est fortement déconseiller de l’éditer directement), puis trouvez cette ligne :

root    ALL=(ALL) ALL

En dessous de cette ligne ajoutez :

www-data ALL=(ALL) NOPASSWD:/etc/init.d/bind9 restart

Pensez à remplacer www-data par votre utilisateur s’il diffère (cf. première étape).

Grâce à cette ligne nous autorisons l’utilisateur d’Apache a exécuter cette commande, et uniquement celle-ci ! C’est un point important sur la sécurité de votre système. Dans le cas contraire sachez que la sécurité de votre système serait totalement compromise :

www-data ALL=(ALL) NOPASSWD:ALL

Dans ce cas précis, vous autorisez toutes les commandes du systèmes à être exécutées par votre utilisateur Apache, bien évidemment c’est fortement déconseillé !

Le cas d’un script shell

Si vous préférez exécuter un script (.sh) qui s’occupera lui même de réaliser cette opération, il vous faut placer dans votre fichier /etc/sudoers (toujours via la commande visudo) le code suivant (ignorer dans ce cas la première manipulation) :

www-data ALL=(ALL) NOPASSWD: DNSRELOAD
# Cmnd alias specification
Cmnd_Alias DNSRELOAD = /chemin/vers/votre/script.sh

D’une façon générale :
Cmnd_Alias NomDeVotreAlias = NomDeVotreAlias ListeDeCommandesSepareesParDesVirgules
OU (dans le cas d’un script)
Cmnd_Alias NomDeVotreAlias = NomDeVotreAlias /chemin/vers/votre/script/

Le script s’exécutant « en tant que » root vous ne devriez pas avoir de souci de droits, dans le cas contraire :

#: chown www-data:www-data /chemin/vers/votre/script.sh

Vous pouvez également faire plus simple en sautant ces étapes pour directement placer le code suivant dans /etc/sudoers (mais les possibilités de « dérives » vers d’autres utilisations sont moins nombreuses) :

www-data ALL=(ALL) NOPASSWD: /chemin/vers/votre/script.sh

L’exécution du script PHP

Il vous suffira ensuite de lancer la commande grâce à la fonction exec de PHP. Dans le cas ou vous souhaitez relancer Bind sans script (.sh) :

<?PHP exec(‘sudo -u www-data /etc/init.d/bind9 restart’); exit; ?>

Dans le cas ou vous utilisez un script :

<?PHP exec(‘sudo -u www-data /chemin/vers/votre/script.sh’); exit; ?>

Pensez à remplacer www-data par votre utilisateur Apache s’il diffère

Conclusion

Il ne vous reste plus faire un petit formulaire (x)html très simple avec un bouton « Redémarrer Bind » et le tour est joué ! Sachez que cette technique fonctionne même si vous avez Suhosin-patch d’installé.

Si toutefois cette solution ne vous convient pas, il vous reste la solution des scripts SUID, à condition dans ce cas d’avoir solides connaissances en matière de permissions sur les fichiers.

Article original écrit par Mr Xhark publié sur Blogmotion le 30/10/2008 | 10 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons