내 프록시(HAProxy)에 대한 블랙리스트를 관리하는 사용자 정의 데몬이 있습니다. 블랙리스트가 업데이트되면 최신 프록시를 갖도록 haproxy를 다시 로드해야 합니다. 불행히도 블랙리스트는 하루에 여러 번 업데이트될 수 있으므로 haproxy를 수동으로 다시 로드하는 것은 합리적이지 않습니다.
이 문제를 해결하기 위해 haproxy를 다시 로드하는 스크립트를 만들었지만 systemctl을 통해 제대로 관리될 수 있도록 루트로 실행해야 합니다. 이 스크립트는 데몬 사용자의 bin 디렉터리에 있습니다. 또한 파일의 소유권을 다른 사용자(현재 루트)로 변경하고 권한을 -r-xr-x---로 변경했습니다. 이 스크립트에 대한 비밀번호 액세스 없이 sudoers 파일에 데몬 사용자를 추가할 계획입니다.
이 관행이 "안전한" 것인지, 아니면 더 나은 대안이 있는지 알고 싶습니다.
답변1
예, 이를 설정하는 올바른 방법은 데몬에 필요한 작업만 수행하는 스크립트를 작성하고 데몬이 스크립트를 실행할 수 있도록 특정 sudoers 항목을 만드는 것입니다. 하지만 데몬 사용자가 스크립트를 수정할 수 없다는 것이 중요하므로 스크립트를 데몬의 홈 디렉터리에 저장하지 않을 것입니다. 차라리 어딘가에 넣고 /usr/local/bin루트에서만 쓸 수 있도록 만드십시오.