增加對用戶的排斥（AWS）的安全隱患：在sudoers中WSGI

Question

在建立一個腳本來使用AWS上的LibreOffice文檔轉換爲PDF，我不能沒有sudo獲得的LibreOffice來--convert-to pdf作爲也許是用戶wsgi不對/opt/python/current/app目錄具有寫入權限。

所以打算通過附加以下行/etc/sudoers文件來解決這個問題：

wsgi ALL = NOPASSWD: /opt/libreoffice5.3/program/soffice.bin 

因爲我想自動執行此，同時部署，在我.ebextensions/01_packages.config我有

container_commands: 
    01_edit_sudoers_only_once: 
     command: "echo 'wsgi ALL = NOPASSWD: /opt/libreoffice5.3/program/soffice.bin' >> /etc/sudoers" 
     test: "test ! -f .sudoers_edited" 

    02_mark_sudoers_as_edited: 
     command: "touch .sudoers_edited" 

有這是一個潛在的安全問題？

Answer 1

給予Web服務進程使用sudo調用事物的能力存在重大的潛在安全問題。

賦予它寫入包含代碼的目錄的權限也是不安全的。

你真的需要確定什麼被拒絕以及爲什麼那麼重要。如果錯誤消息不夠清晰，則可以使用strace來觀察進程系統調用和產生的錯誤。