Witam
Mam potrzebę stworzenia panelu do zarządzania iptables i tc z poziomu przeglądarki (serwer WWW pracuje tylko na potrzeby tego panelu)
Na chwile obecną udało mi się częściowo rozgryźć Webmina- dość popularny panel tego typu.
Na moje amatorskie oko i to co da sie doczytać w necie to wygląda to tak:
Podczas instalacji jest uruchamiany na kompie z Linuksem dodatkowy serwer WWW napisany w perlu działające domyślnie na porcie 10000 , który obsługuje skrypty CGI również napisane w Perlu.
Wynik "ps aux" na mojej maszynie :
root (...) /usr/bin/perl /root/webmin-1.490/miniserv.pl /etc/webmin/miniserv.conf
właścicielem wszystkich plików związanych z serwerem jest root, a grupą bin.
W skryptach cgi polecenia tyczące się firewall'a (iptables) są wydawane bez żadnych kombinacji.
------------------------------------
Reasumując to chyba działa tak, że serwer WWW ma uprawnienia roota i wykonuje skrypty CGI ingerujące w pliki systemowe do których dostęp ma tylko root.
Na ile to jest niebezpieczne zakładając, że serwer ten ma tylko za zadanie hostować panel?
Czy może uruchomić Apache'a jako root by wykonywał CGI z uprawnieniami root'a ?
Czy może użyć w jakiś sposób dobrodziejstwa o nazwie SUDO ?
Myślałem również o skryptach CGI(własność -root:apache) uruchamianych przez Apache'a z ustawionym bitem SUID ? (to według mnie najbezpieczniejsze rozwiązanie)
Proszę o pomoc w wyborze albo chociaż odrzucenie najgorszych z podanych rozwiązań ?
Z góry bardzo dziękuję i pozdrawiam licząc na jakąkolwiek pomoc