プロキシ (HAProxy) のブラックリストを管理するカスタム デーモンがあります。ブラックリストが更新されると、最新のプロキシが含まれるように haproxy をリロードする必要があります。残念ながら、ブラックリストは 1 日に数回更新される可能性があるため、haproxy を手動でリロードするのは合理的ではありません。
この問題を解決するために、haproxy をリロードするスクリプトを作成しましたが、systemctl を介して適切に管理できるように、root として実行する必要があります。このスクリプトは、デーモン ユーザーの bin ディレクトリにあります。また、ファイルの所有権を別のユーザー (現時点では root) に変更し、権限を -r-xr-x--- に変更しました。デーモン ユーザーを sudoers ファイルに追加し、このスクリプトにパスワードなしでアクセスできるようにする予定です。
この方法は「安全」なのか、それとももっと良い代替手段があるのかを知りたいです。
答え1
はい、これを設定する正しい方法は、デーモンに必要なことだけを行うスクリプトを作成し、デーモンがスクリプトを実行できるように特定の sudoers エントリを作成することです。ただし、デーモン ユーザーがスクリプトを変更できないようにすることが重要なので、デーモンのホーム ディレクトリには保存しません。代わりに、次のような場所に置いて/usr/local/bin、root だけが書き込み可能にします。