增加对用户的排斥（AWS）的安全隐患：在sudoers中WSGI

Question

在建立一个脚本来使用AWS上的LibreOffice文档转换为PDF，我不能没有sudo获得的LibreOffice来--convert-to pdf作为也许是用户wsgi不对/opt/python/current/app目录具有写入权限。

所以打算通过附加以下行/etc/sudoers文件来解决这个问题：

wsgi ALL = NOPASSWD: /opt/libreoffice5.3/program/soffice.bin 

因为我想自动执行此，同时部署，在我.ebextensions/01_packages.config我有

container_commands: 
    01_edit_sudoers_only_once: 
     command: "echo 'wsgi ALL = NOPASSWD: /opt/libreoffice5.3/program/soffice.bin' >> /etc/sudoers" 
     test: "test ! -f .sudoers_edited" 

    02_mark_sudoers_as_edited: 
     command: "touch .sudoers_edited" 

有这是一个潜在的安全问题？

Answer 1

给予Web服务进程使用sudo调用事物的能力存在重大的潜在安全问题。

赋予它写入包含代码的目录的权限也是不安全的。

你真的需要确定什么被拒绝以及为什么那么重要。如果错误消息不够清晰，则可以使用strace来观察进程系统调用和产生的错误。