mit PHP Shell mit Sudo ausführen?

Hallo,

Ich habe auf meinem Webserver ein Script geschrieben mit dem ich per shell_exec() ein Python Script mit sudo rechten ausführe. (Ja, ich weiß, es gibt weitaus sauberere Möglichkeiten aber dies ist jetzt zu umständlich zu erklären)

shell_exec("sudo python /home/pi/my_script.py");

Jetzt ist leider das Problem, dass das Script nicht ausgeführt wird. Übers Internet habe ich herrausgefunden, dass der User www-data das Script ausführt und ich dem User also ersteinmal erlauben muss sudo benutzen zu dürfen.

Dies habe ich auch schon hier angepasst:

Defaults   env_reset
Defaults   mail_badpass
Defaults   secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

root   ALL=(ALL:ALL) ALL
www-data ALL=(ALL:ALL) ALL

%sudo   ALL=(ALL:ALL) ALL

Da ich der einzige bin der Zugriff auf den Server hat, ist das auch vollkommen ok (auch wenn das eine Sicherheitslücke ist...).

Leider verstehe ich nicht, warum das Script nicht funktioniert.

Ich würde mich über eine Antwort freuen ^^

3 Antworten

PhotonX

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

29.08.2019, 19:05

Ist es ein Fehler beim Übertragen oder fehlt da tatsächlich ein schließendes Anführungszeichen?

Woher ich das weiß:Hobby – Linux-Nutzer seit 2006

Motfrager

Fragesteller

29.08.2019, 19:15

Hab ich nur in der Frage falsch geschrieben

PhotonX

29.08.2019, 19:24

@Motfrager

Ok, verstehe. Gibt es denn irgendeine Fehlermeldung beim Ausführen des Befehls? Ist es sicher, dass es an den Berechtigungen liegt?

Motfrager

Fragesteller

29.08.2019, 19:46

@PhotonX

Ja, schon relativ sicher. Eine Fehlermeldung gibts nicht. Wenn ich ein Scripr ohne sudo ausführe, klappts

Isendrak

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

programmieren

29.08.2019, 19:20

Und wie genau übergibt shell_execute das Passwort des Benutzers www-data an sudo? (SPOILERALARM: Gar nicht.)

Dazu müsstest du die /etc/sudoers anpassen, um dem Benutzer www-data zu gestatten, python ohne Passworteingabe zu starten.

Motfrager

Fragesteller

29.08.2019, 19:45

Wie geht das denn? Bzw. Was muss ich dafür in die Datei schreiben?

Isendrak

29.08.2019, 19:50

@Motfrager

www-data ALL=(ALL:ALL) NOPASSWD: /usr/bin/python

(Ggf.den Pfad zu Python anpassen.)

guenterhalt

29.08.2019, 20:02

@Motfrager

steht doch in meiner Antwort. Die Zeile muss in die /etc/sudoers

Motfrager

Fragesteller

29.09.2019, 10:41

@Isendrak

Hallo, das funktioniert bei mir leider nicht bzw. nachdem ich das gemacht habe und einmal neugestartet habe, hat es immer noch nicht geklappt.

Isendrak

29.09.2019, 22:50

@Motfrager

Dann probiers zunächst mal "von Hand":

sudo -u www-data sudo /usr/bin/python
 -c 'importos;print(os.getuid()==0)'

Das fragt einmal nach dem Passwort des aktuell angemeldeten Benutzers (ausser wenn dieser bereits root ist) und führt Python als root aus (und gibt entweder "True" oder "False" aus, wobei letzteres nur unter sehr seltsamen Umständen passieren sollte), in dem Fall sollte alles gut sein, oder aber es Fragt nach dem Passwort für www-data, was nicht so gut wäre.

guenterhalt

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Linux

29.08.2019, 19:49

www-data ALL=(ALL:ALL) ALL

hat für ein Script wenig Sinn, denn es wird trotzden nach dem Passwort gefragt, doch niemand kann es eintippen.

 www-data  ALL=(ALL) NOPASSWD: ALL

damit sollte es klappen.

Warum du das aber mit root-Rechten ausführen musst, bleibt ein Rätsel .

Woher ich das weiß:Berufserfahrung – openSuSE seit 1995

KarlRanseierIII

29.08.2019, 20:41

Da ist etwas dran - CAPs o.ä. zu nutzen wäre der weitaus sicherere Weg.

Win7User

29.08.2019, 22:18

shell_exec("echo \"passwort\" | sudo python /home/pi/my_script.py");

so könnte man das passwort 'eintippen' ;-)

Motfrager

Fragesteller

07.09.2019, 15:23

@Win7User

Klappt leider so nicht

guenterhalt

07.09.2019, 16:41

@Win7User

lass doch einfach "echo <passwort>" weg, wenn für den User in der /etc/sudoers NOPASSWD steht, dann wird auch nicht gefragt.

kannst  als User  www-data auch mal 
  sudo python /home/pi/my_script.py
außerhalb eines Scripts starten

Motfrager

Fragesteller

07.09.2019, 15:27

www-data  ALL=(ALL) NOPASSWD: ALL

klappt leider bei mir nicht, ich habe den Raspberry auch schon neu gestartet und egal was ich probiere, sobald ich da sudo reinschreibe, führt er nichts aus

guenterhalt

07.09.2019, 19:56

@Motfrager

Wenn dein Script etwas mit dem web zu tun hat, dann kann durchaus jemand testen, ob das mit ID 0 ausgeführt werden soll. Root mögen die nicht.

Motfrager

Fragesteller

11.09.2019, 20:39

@guenterhalt

Wie meinst du das?

Ähnliche Fragen

Mit PHP Shell Script ausführen?

Hi Community, und zwar möchte ich mithilfe von php ein shell script ausführen und den rückgabewert abfangen.

Mein Shell script: (/home/pi/test.sh)

var=$(sudo gatttool -b 50:F1:4A:50:9C:97 --char-write-req --handle=0x0025 --value=32 --listen >> logfile.txt &)
A=$!
sleep 2
kill $A
echo "$var"
exit 0

und nun bräuchte ich ein php skript (Speicherort: /var/www/html/test.php)das dieses Skript ausführt und den Rückgabewert in eine Variable speichert. Jegliche Versuche von mir sind leider gescheitert...

Gruß Physikgr.

...zur Frage

Ich habe eben den befehle ..sudo chown -R www-data:www-data . ausgeführt auf meinem Raspberry pi 3 funktioniert nun nicht mehr?

Ich habe eben den befehle ..sudo chown -R www-data:www-data . ausgeführt auf meinem Raspberry pi 3 nun funktiniert Fhem , Postfix und co nicht mehr .. ?

Was kann ich nun tun ? Was ist die beste lösung ?

...zur Frage

Virtual Box bring Fehlermeldung VT-x is disabled in the BIOS for all CPU modes (VERR_VMX_MSR_ALL_VMX_DISABLED Linux Ubuntu?

Ich habe schon alles gängige probiert um das zu lösen, Intel Virtual Technologie im BIOS ist enabled, habe schon sudo modprobe kvm probiert, die von Genymotion gemachte Virtuelle Maschine läuft unter Genymotion selber aber auch unter VirtualBox nicht. Fehlermeldung oben. Übrigens existiert dev/kvm laut sudo /usr/sbin/kvm-ok nicht.

Der ganze Output:

secret@private-lenovo:~$ sudo /usr/sbin/kvm-ok 
    [sudo] Passwort für malte: 
    INFO: /dev/kvm does not exist
    HINT:   sudo modprobe kvm_intel
    INFO: Your CPU supports KVM extensions
    INFO: KVM (vmx) is disabled by your BIOS
    HINT: Enter your BIOS setup and enable Virtualization Technology (VT),
    and then hard poweroff/poweron your system
    KVM acceleration can NOT be used

...zur Frage

Mit shell_exec den omxplayer starten (raspberry pi)?

ich möchte eine Kamerasteuerung programmieren. Ich habe mir ein bash_Script geschrieben, mit dem ich den omxplayer starte, der dann den Stream der IP-Kamera anzeigt. Dabei möchte ich allerdings über eine Weboberfläche die Kamera wechseln können. Dafür änder ich in dem Script einfach den Link und starte den omxplayer mit dem neuen Link neu, so die Idee.

Habe jetzt nur das Problem, dass das nicht funktioniert, da der Webserver ja bekanntlich als www-data läuft, der raspberry sich aber als Nutzer pi anmeldet und somit kann ich als www-data kein Programm mit GUI auf dem Bildschirm anzeigen lassen.

Kennt jemand eine Lösung des Problems?

PS: wenn ich das Script als "pi" ausführe geht alles ohne Probleme

Danke im Vorraus!!

...zur Frage

Ich kann unter Debian keine Programme installieren

Ich kann wie gesagt keine Paktete unter Debian installieren. Er spuckt immer das hier aus: Paketlisten werden gelesen... Fertig Abhängigkeitsbaum wird aufgebaut.

Statusinformationen werden eingelesen.... Fertig Vorgeschlagene Pakete: irssi-scripts Die folgenden NEUEN Pakete werden installiert: irssi 0 aktualisiert, 1 neu installiert, 0 zu entfernen und 0 nicht aktualisiert. Es müssen noch 0 B von 1.145 kB an Archiven heruntergeladen werden. Nach dieser Operation werden 2.460 kB Plattenplatz zusätzlich benutzt. dpkg: Warnung: »ldconfig« wurde im PATH nicht gefunden oder ist nicht ausführbar dpkg: Warnung: »start-stop-daemon« wurde im PATH nicht gefunden oder ist nicht ausführbar dpkg: Fehler: 2 erwartete Programme nicht im PATH gefunden oder nicht ausführbar Beachten Sie: PATH von root sollte normalerweise /usr/local/sbin, /usr/sbin und /sbin enthalten E: Sub-process /usr/bin/dpkg returned an error code (2)

Was muss ich machen?

...zur Frage

Crontab Minecraft Server starten?

Ich möchte bei Linux über Crontab meinen Minecraft Server automatisch neustarten.

in crontab -e steht das drin aber es geht nicht:

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 0 * * * screen -S mc -X stuff 'say §cServer §cstartet §cin §c§n30 §cmin §cneu!\n'
10 0 * * * screen -S mc -X stuff 'say §cServer §cstartet §cin §c§n20 §cmin §cneu!\n'
20 0 * * * screen -S mc -X stuff 'say §cServer §cstartet §cin §c§n10 §cmin §cneu!\n'
25 0 * * * screen -S mc -X stuff 'say §cServer §cstartet §cin §c§n5 §cmin §cneu!\n'
29 0 * * * screen -S mc -X stuff 'say §cServer §cstartet §cin §c§n1 §cmin §cneu!\n'
30 0 * * * screen -S mc -X stuff 'stop\n'
31 0 * * * screen -S mc java -Xmx7168M -Xms7168M -jar forge-1.7.10-10.13.4.1614-1.7.10-universal.jar nogui

Was habe ich falsch gemacht? Also alles andere geht bis auf das starten selbst...

...zur Frage

Script nur als root ausführen Linux?

Hey, ich hab ein Python Script das nur ausgeführt werden soll wenn man root hat. Also mit sudo. Und wenn man kein root ist soll ausgegeben werden es geht nur als root. Wie bekomm ich das hin? Mit chmod die rechte zu verändern hat nicht funktioniert.

...zur Frage

Python Script über Browser starten Raspberry Pi?

Hallo,

Ich habe folgendes Problem:

Ich hoste mit meinem Raspberry einen Webserver im lokalen Netzwerk, gebe also im Browser die IP ein und komme auf die Startseite die in /var/www/html/startseite.html hinterlegt ist. Soweit so gut.

Ich habe jetzt noch ein Python Script "camera.py", dass bei Ausführung ein Foto macht und speichert (wo ist im Prinzip egal)

Ich möchte dieses Script im Browser aufrufen, bzw. im Browser ein PHP Script aufrufen, dass Python Script startet.

Also z.B. 10.1.10.100/machefoto.php

Und mein Pi macht ein Foto.

Ich habe einige Wege im Internet gefunden, aber keiner davon funktioniert bei mir. Es entsteht zwar kein Fehler, ein Bild aber genauso wenig.

Wie muss mein PHP Script aussehen und wo muss es sein?

Wo muss mein Python Script sein?

Welche Berechtigungen (und wie) muss ich hinzufügen?

Wie bereits erwähnt alles auf einem Raspberry Pi 3B+ der im lokalen Netzwerk ist. Raspbian OS (Linux)

Danke für Antworten im Voraus

...zur Frage

Python: Library-Pfad ändern?

Hey,

Mein aktueller Pfad, aus denen Python die Module importiert, ist '/usr/lib/python3.8'.

Ich möchte ihn jedoch ändern. Wäre das möglich? Oder zumindest einmalig für ein Python-Script.

Danke im Vorraus!

...zur Frage

[LINUX] In Python einen Terminal Befehl mit variable aus raw_input() ausführen?

Hi, ich schreibe mir grade ein python script/programm (kann man nicht wirklich "programm" nennen xD) erstelltm mit dem man den Hostnamen auf einem "komfortableren" weg ändern kann. Der Befehl ist ja recht einfach:

sudo hostname

ich mach das einfach damit ich versteh wie das geht. Tu ich allerdings nicht xD.

Das ist bis jetzt alles:

import os
hname = raw_input("New Hostname: ") os.system("sudo hostname 'hname' ")

hname ist also die variable, die durch raw_input bestimmt wird und nachher den sudo hostname befehl vervollständigen soll

...zur Frage

Linux Shell Script als Root ausführen, ohne nach Passwort zu fragen?

Ich möchte ein Shell Script automatisiert mit Cron ausführen. In dem Script sind allerdings Commands enthalten, welche als Root laufen müssen. Nun wird das Script nicht korrekt automatisch ausgeführt, da ich ja jedes mal ein Passwort eingeben muss, wenn ich einen Command als Root ausführen möchte.

Ich habe schon in der sudoers Datei folgende Zeile eingefügt (Username natürlich mit meinem Benutzernamen ersetzt)

 Username ALL = NOPASSWD: /home/username/test.sh

Die Zeile habe ich ganz unten eingefügt.

Nun kann ich das Shell Script ohne Passwort ausführen, wenn ich "sudo ./test.sh" eingebe. Wenn ich das Script allerdings ohne dem sudo Befehl am Anfang starte, da sudo ja in dem Shell Script enthalten ist, frägt es mich nach einem Passwort.

Wie bekomme ich es hin, dass ich nicht nach einem Passwort gefragt werde, wenn ein "sudo" befehl im Script ausgeführt wird?

...zur Frage

Fastboot installation geht nicht?

Ich will meinen PC für Fastboot bereit machen, dazu habe ich die SDK File von Google gedownloaded und dann

sudo cp -r ~/Downloads/platform-tools/fastboot /usr/local/bin

eingegeben, der PC antwortet aber dann: No such file or directory

...zur Frage

bash sendmail echo: Zeilenumbruch?

wie kann ich in diese Zeile von meinem bash script ins echo ein Zeilenumbruch machen <br> und \n geht nicht!

echo "Zeile1 Zeile2" 2>&1 | sed '1!b;s/^/To: mail@example.com\nSubject:betreff\n\n/' | /usr/sbin/sendmail -t

...zur Frage

Linux Ordnerrechte für ftp-Zugriff?

Ich habe eine Website unter /var/www/html. Welche Zugriffsrechte muss ich vergeben, damit ich die Dateien in diesem Ordner über FTP überschreiben / bearbeiten kann, sodass die Website trotzdem sicher ist. Welchem Benutzer muss der Ordner gehören? www-data oder root? (Bei FTP melde ich mich mit dem Rootuser an (Müsste dann ja aber ohne sudo-Rchte sein...))

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen