Eu tenho um daemon personalizado que gerencia uma lista negra para meu proxy (HAProxy). Quando a lista negra for atualizada, preciso recarregar o haproxy para que ele tenha o proxy mais recente. Infelizmente, recarregar manualmente o haproxy não é razoável porque a lista negra pode ser atualizada várias vezes ao dia.
Para resolver esse problema criei um script para recarregar o haproxy, mas ele precisa ser executado como root para que possa passar pelo systemctl para ser gerenciado adequadamente. Este script está no diretório bin do usuário daemon. Também mudei a propriedade do arquivo para outro usuário (root por enquanto) e as permissões para -r-xr-x---. Pretendo adicionar o usuário daemon ao arquivo sudoers sem acesso por senha a este script.
Quero saber se essa prática é "segura" ou existe uma alternativa melhor?
Responder1
Sim, a maneira correta de configurar isso é escrever um script que faça apenas o que o daemon precisa e criar uma entrada sudoers específica para permitir que o daemon execute o script. É crucial que o usuário do daemon não possa modificar o script, então eu não o armazenaria no diretório inicial do daemon. Em vez disso, coloque-o em algum lugar /usr/local/bine torne-o gravável apenas pelo root.