Будет ли угроза безопасности создать приложение Automator для запуска Plone?

Question

Чтобы создать «однократное» начальное решение для Plone на выделенном веб-сервере Mac, я хотел бы создать приложение Automator. Цель этого заключается в том, чтобы его можно было запустить при входе в систему, чтобы, если компьютер столкнулся с отключением питания или был необходим для перезапуска для обслуживания, Plone автоматически запустится после перезапуска машины. Тем не менее, поскольку установка будет выполняться как root, пользователь и «.../zeocluster/bin/*» должны быть благословлены в sudoers, чтобы работать без необходимости ввода пароля для запуска plonectl.

Основной вопрос: это огромный риск для безопасности на производственном сервере для добавления/bin/* в sudoers?

Answer 1

Zope будет Старт как корень, но не будет бежать как корень. После присоединения к порту он изменяется на эффективного пользователя, указанного в вашей компоновке.

При этом, если вам не требуется привязываться к привилегированному порту (например, порт 80 или 443), я постараюсь избежать запуска Zope в качестве пользователя root. Это просто не нужно, и это увеличивает поверхность атаки. По той же причине я бы не стал использовать automator для приложения, которое начинается с root.

Вместо этого ознакомьтесь с каталогом init_scripts в Unified Installer. В нем есть пример сценариев запуска и упаковочных листов для OS X. Они не были затронуты в течение длительного времени, поэтому есть хорошие шансы, которые вам нужно будет отредактировать, чтобы соответствовать фактическим командам запуска. У меня также было бы sudo для эффективного пользователя, а не для root. Таким образом:

sudo -u plone_daemon /usr/local/Plone/zeocluster/bin/plonectl start 

Откорректировано для вашего места установки.