0

为了在专用的 Mac Web 服务器上为 Plone 制作“一键式”启动解决方案,我想创建一个 Automator 应用程序。这样做的目的是让它可以在登录时启动,这样如果计算机遇到停电或需要重新启动以进行维护,一旦机器再次上电,Plone 就会自动启动。也就是说,因为安装将作为 root,用户和“.../zeocluster/bin/*”需要在 sudoers 中得到祝福,以便在不需要密码来启动 plonectl 的情况下运行。

基本问题:在生产服务器上添加 /bin/* 到 sudoers 是否存在巨大的安全风险?

4

1 回答 1

1

Zope 将以root 身份启动,但不会以 root 身份运行。附加到端口后,它会更改为您的构建中指定的有效用户。

也就是说,除非您需要绑定到特权端口(如端口 80 或 443),否则我会尽量避免以 root 身份启动 Zope。这只是没有必要,它增加了攻击面。出于同样的原因,我会避免将 automator 用于以 root 身份启动的应用程序。

相反,请查看统一安装程序中的init_scripts目录。它有 OS X 的示例启动脚本和打包列表。这些已经很长时间没有被触及,所以很有可能您需要编辑以匹配实际的启动命令。我也将它 sudo 提供给有效用户,而不是以 root 身份启动。所以:

sudo -u plone_daemon /usr/local/Plone/zeocluster/bin/plonectl start

调整到您的安装位置。

于 2015-02-24T17:02:35.967 回答