OrderSprinter-Forum

Hallo Peter,

vielen Dank für deinen Einsatz!

Du hast natürlich vollkommen Recht, dass das nicht State-of-the-art ist und man es besser per sudoers umsetzen sollte. Allerdings halte ich die Gefahr trotzdem gering, wenn ich mir so überlege, in welchen Szenarien das ausgenutzt werden kann.

Aber ja, ich sollte es ändern. Genau wie einige andere Security-relevante Stellen, die mir bekannt sind und bei denen mir auch die Zeit fehlt, das anzufassen. Ganz konkret:
- Backups verschlüsseln (gerade bei Sicherung auf USB-Stick per Nightly-Job relevant, denn der ist schnell mal abgezogen oder vergessen)
- Backups ohne enthaltene Passwörter für Email usw. anlegen können - falls mir Benutzer etwas zuschicken wollen.
- OpenSSL ersetzen - bringt nur Probleme im Windows-Umfeld und hat sowieso ständig mit Bugs zu kämpfen. Da gibt es mittlerweile bessere Alternativen.
- und noch vieles mehr...

Aber mir fehlt schlicht die Zeit...

Viele Grüße,

Stefan

        private function shutdown() {
                try {
                        if (substr(php_uname(), 0, 7) == "Windows"){
                                $comd = "shutdown /s /t 10";
                                pclose(popen("start /B ". $cmd, "r"));
                        }
                        else {
                                chmod("shutdown.bat", "700");
                                $cmd = "sh < shutdown.bat";
                                exec($cmd . " > /dev/null &");
                        }
                        echo json_encode(array("status" => "OK"));
                } catch(Exception $e) {
                        echo json_encode(array("status" => "ERROR", "code" => ERROR_SCRIPT_NOT_EXECUTABLE, "msg" => ERROR_SCRIPT_NOT_EXECUTABLE_MSG));
                }

        }

sudo visudo

# Allow webserver to shutdown system
# so shutdown via ordersprinter website works
www-data ALL = NOPASSWD: /sbin/shutdown

        private function shutdown() {
                try {
                        if (substr(php_uname(), 0, 7) == "Windows"){
                                $comd = "shutdown /s /t 10";
                                pclose(popen("start /B ". $cmd, "r"));
                        }
                        else {
                                system("sudo shutdown 0");
                        }
                        echo json_encode(array("status" => "OK"));
                } catch(Exception $e) {
                        echo json_encode(array("status" => "ERROR", "code" => ERROR_SCRIPT_NOT_EXECUTABLE, "msg" => ERROR_SCRIPT_NOT_EXECUTABLE_MSG));
                }

        }

Hallo,

die Shutdown-Funktion in der Datei [b]admin.php[/b] sollte meiner Meinung aus Sicherheitsaspekten geändert werden. Ich spreche von der Linux Variante. Derzeit sieht der betreffende Code-Teil so aus:

[code]
private function shutdown() {
try {
if (substr(php_uname(), 0, 7) == "Windows"){
$comd = "shutdown /s /t 10";
pclose(popen("start /B ". $cmd, "r"));
}
else {
chmod("shutdown.bat", "700");
$cmd = "sh < shutdown.bat";
exec($cmd . " > /dev/null &");
}
echo json_encode(array("status" => "OK"));
} catch(Exception $e) {
echo json_encode(array("status" => "ERROR", "code" => ERROR_SCRIPT_NOT_EXECUTABLE, "msg" => ERROR_SCRIPT_NOT_EXECUTABLE_MSG));
}

}
[/code]

Der Benutzer, unter dem der Webserver läuft (bei Ubuntu z.B. [i]www-data[/i]) muss bei dieser Implementierung

[list]
[*] Dateiberechtigungen ändern dürfen - chmod("shutdown.bat", "700");
[*] sh (eine vollwertige Shell !!) starten dürfen - $cmd = "sh < shutdown.bat";
[/list]

Die Berechtigung eine Shell auszuführen ist meiner Meinung doch eine etwas zu hohe Berechtigung und Dateirechte verändern ebenso.

Ich gehe davon aus, dass man sowieso nur bei selbstgehosteten Varianten die Möglichkeit hat die Rechte des Benutzers www-data anzupassen, deshalb halte ich folgenden Ansatz für zielführender und sicherer:

[list]
[*] Benutzer www-data erlauben per sudo den Befehl shutdown (und nur diesen) auszuführen
[*] admin.php anpassen, den Befehl shutdown per sudo auszuführen
[/list]

Ich habe das folgendermaßen gelöst:

Zunächst habe ich mit dem Befehl

[code]
sudo visudo
[/code]

die sudoers Datei geöffnet (obiger Befehl öffnet automatisch den Standard-Editor im Terminal und damit die sudoers Datei).

Ich habe dann folgende Zeilen am Ende der sudoers Datei angehängt:

[code]
# Allow webserver to shutdown system
# so shutdown via ordersprinter website works
www-data ALL = NOPASSWD: /sbin/shutdown
[/code]

In der admin.php steht nun bei mir folgender Code:

[code]
private function shutdown() {
try {
if (substr(php_uname(), 0, 7) == "Windows"){
$comd = "shutdown /s /t 10";
pclose(popen("start /B ". $cmd, "r"));
}
else {
system("sudo shutdown 0");
}
echo json_encode(array("status" => "OK"));
} catch(Exception $e) {
echo json_encode(array("status" => "ERROR", "code" => ERROR_SCRIPT_NOT_EXECUTABLE, "msg" => ERROR_SCRIPT_NOT_EXECUTABLE_MSG));
}

}
[/code]

Der Code funktioniert und der Benutzer www-data darf ausschließlich den Befehl /sbin/shutdown ausführen.

Meiner Meinung nach wesentlich sicherer und die Nutzung von sudo hat sich in modernen Linux-Distributionen eigentlich als Standard durchgesetzt.

Weiterhin könnte man das Webinterface erweitern, den Shutdown Befehl in verschiedenen Varianten auszuführen, z.B.

[list]
[*] ' shutdown -r now' für reboots
[*] shutdown zu bestimmter Uhrzeit
[*] usw.
[/list]

Es wäre nett, wenn über diese Idee nachgedacht würde und sie vielleicht implementiert wird?

Ich könnte mir auch vorstellen, dass ggf. die Shutdown Funktion nicht mehr direkt in der admin.php steht sondern nur als include File eingebunden wird. Das hätte den Scharm, dass Änderungen im Bereich shutdown nur an dieser Include Datei vorgenommen werden müssten und diese könnte man dann bei Updates von Ordersprinter einfach in Ruhe lassen, sodass individualisierte Shutdown-Mechanismen weiterhin funktionieren auch wenn Ordersprinter aktualisiert wird/wurde.

Vielen Dank vorab

Gruß

Peter