Tengo un demonio personalizado que gestiona una lista negra para mi proxy (HAProxy). Cuando se actualiza la lista negra, necesito recargar haproxy para que tenga el proxy más reciente. Desafortunadamente, las recargas manuales de haproxy no son razonables porque la lista negra podría actualizarse varias veces al día.
Para resolver este problema, creé un script para recargar haproxy, pero debe ejecutarse como root para que pueda pasar por systemctl y administrarse correctamente. Este script está en el directorio bin del usuario del demonio. También cambié la propiedad del archivo a otro usuario (root por ahora) y los permisos a -r-xr-x---. Planeo agregar el usuario del demonio al archivo sudoers sin acceso con contraseña a este script.
Quiero saber si esta práctica es "segura" o existe una alternativa mejor.
Respuesta1
Sí, la forma correcta de configurar esto es escribir un script que solo haga lo que el demonio necesita y crear una entrada sudoers específica para permitir que el demonio ejecute el script. Sin embargo, es fundamental que el usuario del demonio no pueda modificar el script, por lo que no lo almacenaría en el directorio de inicio del demonio. Más bien colóquelo en algún lugar como /usr/local/biny hágalo solo grabable por root.