/usr/sbin/iptables -I FORWARD.... z poziomu PHP Opcje

[wojt-ek]

Potrzebuje napisac skrypt php, ktory bedzie wykonywal komendę
/usr/sbin/iptables -I FORWARD -p tcp -s 192.168.0.9 --dport 80 -j DROP
Oczywiscie ta komenda wymaga uruchomienia z poziomu roota ale moze
zna ktos sposob na uruchomienie jej z php?

Probuję tak:
system('/usr/sbin/iptables -I FORWARD -p tcp -s 192.168.0.9 --dport 80 -j DROP', $out);
echo "$out";
i nie dziala..
do pliku /etc/sudoers dodalem ponizsza linie:
nobody ALL=(root) /usr/sbin/iptables
i probowalem tak jak nizej i tez nic:
system('sudo -u root /usr/sbin/iptables -I FORWARD -p tcp -s 192.168.0.9 --dport 80 -j DROP', $out);

please pomozcie mi bo sam juz nie wiem co mam zrobic.

wojtek

[gabrys]

zgadzam sie, malo bezpieczne.

chyba ze jedyny katalog w ktorym jest wylaczony safe mode to katalog w ktorym my dzialamy a serwer www zamiast na nobody pusic tylko na jego wlasny np. www-data (dla pewnosci).

W Twoim sposobie zabezpieczniem bylaby jak sadze nieznajomosc przez niepowolowane osoby nazwy pliku ktorego zawartosc jest wykonywana przez skrypt. OK.

to ja proponuje cos lepszego (pozbawionego zwloki czasowej)
nie wpisywac do sudoers /usr/sbin/iptables
tylko do kopii iptables znajdujacej sie zupelnie gdzie indziej
np.
/wwwroot/sudoers/wwwdata_iptables

wtedy ktos kto by chcial sie dostac do iptables musi tez znac dokladna jego lokalizacje, a jesli cala reszta uzytkownikow serwera www chodzi na safe mode to i tak nie ma sie czym przejmowac - nikt wiecej nie bedzie mogl uzywac ` `, system itd.

Ten post edytował gabrys 28.09.2004, 13:40:49