Как это сделать правильно?

0

1

Всем привет!

Есть простенький веб-сервис, который по команде от гитхаба (https://developer.github.com/webhooks/) должен делать git pull && make.

Веб-сервис выполняется в контексте httpd_t, а для того, чтобы сделать git pull нужно достаточно много прав (как минимум, доступ к хомяку), которых не хочется давать всему httpd_t.

Как настроить SELinux так, чтобы он позволял такое повышение прав только для очень ограниченных действий? Примерно как sudo, которое можно настроить на запуск только определённых команд. Но sudo не изменяет контекст.

Ссылка

←	Wi-Fi следит !!!

Куча записей в auth.log

→

Я бы запилил таблицу в БД куда бы постились «ивенты» из веба, а на крон у пользака которому по правам доступно что-то большее, повесил бы задачу которая чекает эти новые ивенты и выполняет их. Так еще и лог вести можно, что выполнилось и когда.

deep-purple ★★★★★
(22.06.15 14:18:31 MSK)

Напиши демона и прикрути ZeroMQ (или RabbitMQ). Либо используй REST. Сайт будет дергать демона, а демон будет делать pull. Это если ты хочешь сделать правильно.

Black_Roland ★★★★
(22.06.15 15:25:36 MSK)

Ответ на: комментарий от deep-purple 22.06.15 14:18:31 MSK

Спасибо, но бд - это явно черезчур в моём случае, а крон - не реалтайм, даже если «* * * * *». По крону можно было бы и «холостой» git pull раз в минуту делать без всяких гитхабовских вебхуков, но это не то, что хочется.

Pythagoras ★★
(22.06.15 17:29:02 MSK) автор топика
Последнее исправление: Pythagoras 22.06.15 17:33:48 MSK (всего исправлений: 3)

Ответ на: комментарий от Black_Roland 22.06.15 15:25:36 MSK

Если делать отдельного демона, который умеет делать только git pull && make, то тогда его можно сразу в интернет выставлять без лишних посредников.

Получается, средствами selinux эта задача нормально не решается?

Pythagoras ★★
(22.06.15 17:31:32 MSK) автор топика

Ответ на: комментарий от Pythagoras 22.06.15 17:29:02 MSK

Апдейт приложения максимум через минуту после отправки команды это так критично?

Оно собираться может будет даже дольше. Я бы точно потерпел.

Ну и БД для примера. Дело твое, пиши в файл.

deep-purple ★★★★★
(22.06.15 17:36:15 MSK)
Последнее исправление: deep-purple 22.06.15 17:36:40 MSK (всего исправлений: 1)

Ответ на: комментарий от Pythagoras 22.06.15 17:31:32 MSK

Правильные контексты на директорию с репозиторием и через setsebool разрешить exec. audit2allow, если не достаточно.

Black_Roland ★★★★
(22.06.15 17:38:27 MSK)

Ответ на: комментарий от deep-purple 22.06.15 17:36:15 MSK

Дело твое, пиши в файл.

Еще и inotify можно прикрутить, тогда реалтайм получится.

Black_Roland ★★★★
(22.06.15 17:39:21 MSK)

Ссылка

#!/bin/sh

echo 'HTTP/1.0 200 OK'
echo

# cd /path && git pull && make

nc -kl 8080 -c build.sh

Простейший демон :)

Фишка использования демона и API к нему в том, чтобы извне не было прямого доступа к сервису с привилегированным доступом. Просто запусти демона (пусть даже на PHP) от выделенного пользователя или в PHP-FPM с выделенным пользователем. Если на этом серваке не крутится других сайтиков то спокойно можешь ослаблять политики SELinux. Ничего страшного не будет.

Black_Roland ★★★★
(22.06.15 17:51:58 MSK)
Последнее исправление: Black_Roland 22.06.15 17:53:15 MSK (всего исправлений: 2)

Прошу прощения. Вопрос к ТС и тем кто отвечал:

А зачем может понадобиться httpd доступ к хомяку? Почему он не может в своей выделенной папочке делать свое дело?

Quickern ★★
(22.06.15 17:59:43 MSK)

Ответ на: комментарий от Black_Roland 22.06.15 17:38:27 MSK

Правильные контексты на директорию с репозиторием и через setsebool разрешить exec. audit2allow, если не достаточно.

Пробовал, но ему очень много нужно. В частности, доступ к хомяку (для ~/.gitconfig и ~/.ssh/id_rsa), чего как-то неправильно делать.

Pythagoras ★★
(22.06.15 18:37:07 MSK) автор топика

Ссылка

Ответ на: комментарий от Quickern 22.06.15 17:59:43 MSK

А зачем может понадобиться httpd доступ к хомяку? Почему он не может в своей выделенной папочке делать свое дело?

git pull читает ~/.gitconfig и ~/.ssh/id_rsa.

Pythagoras ★★
(22.06.15 18:38:47 MSK) автор топика

Ответ на: комментарий от Black_Roland 22.06.15 17:51:58 MSK

Простейший демон :)

Наверное, так в итоге и сделаю. Спасибо.

Pythagoras ★★
(22.06.15 18:39:42 MSK) автор топика

Ссылка

Ответ на: комментарий от Pythagoras 22.06.15 18:38:47 MSK

Хм, а почему не дать их, какая принципиально разница?

Quickern ★★
(22.06.15 19:36:17 MSK)

Ответ на: комментарий от Quickern 22.06.15 19:36:17 MSK

Поэтому что если всё разрешить, то теряется весь смысл SELinux. Он очень многого хочет. А ещё я слышал, что когда кто-нибудь запускает audit2allow --all, на Земле умирает один котёнок.

Pythagoras ★★
(22.06.15 22:48:19 MSK) автор топика

Ссылка

Ответ на: комментарий от Pythagoras 22.06.15 18:38:47 MSK

Ну так создай отдельного пользователя, и скопируй файлы, не? К тому же ~/.ssh/id_rsa лишний, можно по https лезть.

yurikoles ★★★
(30.06.15 20:44:40 MSK)

Ответ на: комментарий от yurikoles 30.06.15 20:44:40 MSK

httpd_enable_homedirs либо установлена, либо нет, неважно какой пользователь.

Вообще меня вполне устраивает вариант решения с отдельным веб-сервером, который изначально выполняется в нормальном контексте и by design не умеет ничего, кроме этой конкретной задачи.

Pythagoras ★★
(01.07.15 23:03:00 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Wi-Fi следит !!!

Security

Куча записей в auth.log

→

Похожие темы