У меня есть собственный демон, который управляет черным списком для моего прокси (HAProxy). Когда черный список обновляется, мне нужно перезагрузить haproxy, чтобы он имел самый последний прокси. К сожалению, ручная перезагрузка haproxy нецелесообразна, поскольку черный список может обновляться несколько раз в день.
Чтобы решить эту проблему, я создал скрипт для перезагрузки haproxy, но он должен запускаться от имени root, чтобы он мог пройти через systemctl для правильного управления. Этот скрипт находится в каталоге bin пользователя daemon. Я также изменил владельца файла на другого пользователя (на данный момент root) и права доступа на -r-xr-x---. Я планирую добавить пользователя daemon в файл sudoers без пароля для доступа к этому скрипту.
Я хочу узнать, является ли эта практика «безопасной» или есть лучшая альтернатива?
решение1
Да, правильный способ настроить это — написать скрипт, который делает только то, что нужно демону, и создать специальную запись sudoers, чтобы демон мог выполнить скрипт. Однако важно, чтобы пользователь демона не мог изменять скрипт, поэтому я бы не хранил его в домашнем каталоге демона. Лучше поместите его куда-нибудь, например, /usr/local/binи сделайте его доступным для записи только root.