Если мы добавим в sudoers следующие строки:
Defaults requiretty
Defaults:apache !requiretty
apache ALL=NOPASSWD: /etc/init.d/httpd graceful
Каковы последствия для безопасности?
Насколько я понимаю, «веб-пользователи» могут корректно перезапустить httpd-сервер, если они могут управлять инъекцией?
Есть ли другие опасности?
requiretty указывает на то, что sudo может использоваться, даже если нет интерактивной оболочки / сеанса.
Влияние на безопасность зависит от настроек системы. Если бы пользователь apache мог писать на /etc/init.d/httpd или изменить поведение сценария инициализации, изменив некоторые параметры в /etc/defaults злоумышленник мог сделать все.
Вам следует не дайте вашему веб-серверу более высокие привилегии в системе, если это действительно необходимо.