Publié le 11/01/2013
Auteur Fobec
Réseaux sociaux
0 partages
0 tweets
2 plus
0 commentaires

Executer une commande linux via une page php

A partir d'un script PHP, une commande système Linux peut être lancée pour supprimer un dossier ou redémarrer un service. La difficulté se trouve au niveau des droits Linux, comment autoriser Apache a accéder aux fonctions système ?Prenons le cas concret de la mise en place de Nmap sur les serveurs de localisation d'IP.

Traceroute dans le terminal Ubuntu

Plusieurs machines tournent avec LAMP et répètent à l'infini des opérations de base, par exemple l'extraction de données d'un Traceroute. Ces analyses d'adresses IP sont pilotées par des scripts PHP.En d'autres termes, on cherche à reproduire les commandes suivantes à partir du localhost Apache.
dolphin@poste02:~$ sudo nmap -sP -n -PN --traceroute google.fr
[sudo] password for dolphin:
Starting Nmap 5.21 ( http://nmap.org ) at 2013-01-11 11:17 CETNmap scan report for google.fr (74.125.132.94)Host is up (0.040s latency)....

En mode terminal, les droits sont acquis avec la saisie du mot de passe root.

Lancer la commande en PHP

Avec un script PHP, on peut automatiser les commandes saisies dans le Terminal. La fonction exec() lance la commande Nmap y compris les paramètres nécessaires. Le résultat est retourné sous forme d'un Array dans la variable $list.
<?php
exec("sudo nmap -sP -n -PN --traceroute " . $ip, $list);
?>
En l'état, la fonction n'est pas exécutée par le systeme Linux, faute de droits suffisants de l'utilisateur 'www-data'.

Donner les droits root au script PHP

Comment autoriser Apache a lancer les commandes Linux réservées à l'utilisateur 'root' ?Rappel, les actions systèmes sont celles qui sont appelées avec 'sudo' en mode Terminal. L'authentification de l'utilisateur est réalisée avec la saisie du mot de passe.Ce que l'on cherche à faire est de supprimer l'authentification par mot de passe pour l'utilisateur 'www-data'. En effet lorsque le script PHP est exécute, il est en général identifié comme l'utilisateur 'www-data'.

1. Editer le fichier /etc/sudoers
dolphin@poste02:~$sudo visudo

2. Ajouter l'utilisateur 'www-data'
Voyons comment donner les droits à l'utilisateur 'www-data'. Il est possible de définir plusieurs niveaux de sécurité:- autoriser une fonction système,
- autoriser un script shell,
- autoriser toutes les actions.
A la fin du fichier, ajouter une des lignes suivantes
root    ALL=(ALL) ALL
...
# autoriser la fonction iptable
www-data ALL=NOPASSWD: /sbin/iptables
# autoriser le redemarrage d'Apache
www-data ALL=NOPASSWD: /sbin/service apache2 restart
# autoriser un script shell
www-data ALL=NOPASSWD: /path/script.sh
#autoriser toutes les actions
www-data ALL=NOPASSWD:ALL

Dans le cas des serveurs de localisation, j'ai opté pour www-data ALL=NOPASSWD:ALL. Les scripts PHP ont les droits 'root' pour l'ensemble des commandes. Les fonctions Linux sont accessibles depuis l'espace '/var/www' y compris la commande Nmap.
Attention à la sécurité du serveur Apache !
Il est conseillé de bien choisir les commandes Linux à autoriser. La manipulation ouvre des failles importantes puisque à partir d'un script PHP, l'internaute a accès au coeur de la machine d'hebergement.

Ajouter un commentaire

Les champs marqués d'un * sont obligatoires, les adresses emails se sont pas publiées.

A lire aussi

Réseaux sociaux
Présentation de l'article
Catégorie
tuto - linux
Mise a jour
11/01/2013
Visualisation
vu 9890 fois
Public
Internaute
Auteur de la publication
Fobec
Admin
Auteur de 261 articles
|BIO_PSEUDO|
Commentaires récents

Publié par fobec dans logiciel

MAJ: migration vers GoogleMap V3 de la carte

Publié par Pierrot dans CMS

Je présume que c'est plutot application.terminate;, le clavier à fourcher, ça m'arrive souvent.
@+

Publié par need help dans java

Merci pour cet exemple.
Est ce possible de récupérer le flux video d'une camera ou bien une appareil photo branché par USB.

Merci d'avance.

Publié par farid dans CMS

formation delphi 7

Publié par RIJAPOTAK dans CMS

PILOTAGE SCANNER (TWAIN-WIA), IPTC, EXIF, METADATA, ICC PROFILES, D&Atilde;&copy;veloppement des logiciels, Traitement d'image, Traitement en Batch d'image et Pdf