Правильный способ реализации графика / cron

Question

Правильный способ реализации графика / cron

1

Мне нужно добавить создание массивных объектов в Pimcore. Сначала я пробовал с помощью Интернета, но из-за большого размера набора, запрос, взятый долгое время, и подход отброшен на практике.

Затем я выбрал cron для расписания работы на более поздний период, но у меня другая проблема. Как и некоторые другие приложения RAD, pimcore автоматически генерирует некоторый код в некоторых папках, таких как /website/var/versions. Таким образом, эти папки автоматически получают разрешение веб-пользователя (в моем случае apache пользователь).

Но мой скрипт cron, выполняемый обычным пользователем, который выполняет API Pimcore, вызывает создание объектов/данных, но не может писать в папках из-за недостаточных разрешений. Теперь у меня может быть один из двух вариантов.

Запуск cron через пользователя apache, который не является большим по соображениям безопасности.
Дайте права на запись (chmod 777 вроде или добавьте моего пользователя в группу apache с помощью chown). Но pimcore создает новые папки время от времени, когда управляется из браузера. Таким образом, у этих новых папок нет разрешений на запись cron-скриптом (разрешение max 755, я получаю для новых папок, которых недостаточно для групповой записи).

Я искал ранее в google и нашел команду setfacl для установки по умолчанию пользователя/разрешений для папки. Что я использовал так.

    'sudo setfacl -Rm u:apache:rwx,d:u:apache:rwx website/var/versions/object'

Но это не удалось, и мне нужно снова и снова разрешать вручную.

Теперь, если какой-либо практический подход для этого?

Примечание. В настоящее время я использую Amazon Linux AMI. Но это может быть позже изменено на redhat или ubuntu, поэтому лучше всего доступно универсальное решение linux.

kuldeep.kamboj 02 нояб. 2015, в 09:27

Источник

0

«Запустите cron через пользователя Apache, что по соображениям безопасности не очень». - Мне любопытно, почему ты так думаешь?
chluehr 02 нояб. 2015, в 09:21
0

@chluehr, мы уже видели практический пример взлома системы через Apache Cron на загруженном сайте. Этого достаточно для системных администраторов, чтобы отключить Apache Cron.
kuldeep.kamboj 02 нояб. 2015, в 09:28
0

Хорошо, я понимаю, конечно - хотя, на мой взгляд, это сводится к обеспечению того, чтобы php-скрипты запускались через cron-скрипт. В этом нет никакой неизбежной / неизбежной опасности. Ваш пробег может отличаться :-)
chluehr 04 нояб. 2015, в 09:28
0

@chluehr На самом деле запущенный cron как apache сам по себе имеет огромную дыру в безопасности, поскольку хакер может легко добавить свой скрипт в apache user cron, который в то время был доступен только веб-пользователю. Защита PHP-скрипта не помешает этому. Единственный другой способ предотвратить это - обновлять сервер, чтобы не допустить возникновения новых проблем в пакетах, установленных на сервере (включая apache / php / mysql).
kuldeep.kamboj 04 нояб. 2015, в 09:39
0

Возможно, нам следует остановиться здесь - как хакер может «легко» добавить скрипт? а в чем разница с добавлением скрипта в docroot?
chluehr 04 нояб. 2015, в 09:51
0

@chluehr, "легко" может быть неправильным словом. Но, как я практически видел, это сценарий оболочки, работающий от Apache Cron, который загружает некоторые двоичные файлы с сайта хакера. Даже если мы удаляем несколько раз, что запись cron добавляется снова через некоторое время (очевидно, он / она использует какой-то эксплойт). Затем системный администратор отключает cron. Там после того, как двоичные файлы не обнаружены в той же системе.
kuldeep.kamboj 04 нояб. 2015, в 10:35
1

Так что проблема в подвиге, а не в cron. Отключение cron просто перенесло использование / эффект. Я понимаю.
chluehr 04 нояб. 2015, в 11:13

Показать ещё 5 комментариев

Теги:

php

apache

cron

pimcore

user-permissions

1 ответ

Ещё вопросы

«Запустите cron через пользователя Apache, что по соображениям безопасности не очень». - Мне любопытно, почему ты так думаешь?
@chluehr, мы уже видели практический пример взлома системы через Apache Cron на загруженном сайте. Этого достаточно для системных администраторов, чтобы отключить Apache Cron.
Хорошо, я понимаю, конечно - хотя, на мой взгляд, это сводится к обеспечению того, чтобы php-скрипты запускались через cron-скрипт. В этом нет никакой неизбежной / неизбежной опасности. Ваш пробег может отличаться :-)
@chluehr На самом деле запущенный cron как apache сам по себе имеет огромную дыру в безопасности, поскольку хакер может легко добавить свой скрипт в apache user cron, который в то время был доступен только веб-пользователю. Защита PHP-скрипта не помешает этому. Единственный другой способ предотвратить это - обновлять сервер, чтобы не допустить возникновения новых проблем в пакетах, установленных на сервере (включая apache / php / mysql).
Возможно, нам следует остановиться здесь - как хакер может «легко» добавить скрипт? а в чем разница с добавлением скрипта в docroot?
@chluehr, "легко" может быть неправильным словом. Но, как я практически видел, это сценарий оболочки, работающий от Apache Cron, который загружает некоторые двоичные файлы с сайта хакера. Даже если мы удаляем несколько раз, что запись cron добавляется снова через некоторое время (очевидно, он / она использует какой-то эксплойт). Затем системный администратор отключает cron. Там после того, как двоичные файлы не обнаружены в той же системе.
Так что проблема в подвиге, а не в cron. Отключение cron просто перенесло использование / эффект. Я понимаю.

Igor Benko · Answer 1 · 2015-11-02T07-21-00.000Z

Pimcore уже требует, чтобы его задания на обслуживание (cron) выполнялись под пользователем apache, поэтому не выполняйте свою работу под пользователем apache, возможно, не сильно улучшить ситуацию.

Но вы можете пойти с подходом, который используется для отправки интегрированной рассылки.

См. /Pimcore/modules/reports/controllers/NewsletterController.php:194:

$cmd = Tool\Console::getPhpCli() . " " . realpath(PIMCORE_PATH . DIRECTORY_SEPARATOR . "cli" . DIRECTORY_SEPARATOR . "send-newsletter.php"). " " . escapeshellarg($letter->getName()) . " " . escapeshellarg(Tool::getHostUrl());
            Tool\Console::execInBackground($cmd, PIMCORE_LOG_DIRECTORY . "/newsletter--" . $letter->getName() . ".log");

Над кодом запускается сценарий CLI /pimcore/cli/send-newsletter.php

При таком подходе cron не нужен, и поскольку задание выполняется как CLI, он не будет тайм-аут (если вы явно не задали тайм-аут для PHP CLI).

Если этот сценарий запускается CLI, он все равно должен иметь пользователя, у которого не будет разрешения на запись в папки версий, которые имеют разрешение только для пользователя apache. Я прав?
Нет, он будет работать под пользователем Apache, поэтому он должен иметь все необходимые вам права. Команда PHPs shell_exec запускает сценарии CLI под текущим пользователем - поэтому, если вы запускаете его из действия контроллера, он запускается вашим пользователем Apache.
Все еще проблема безопасности, функции Shell также отключены.
Pimcore использует shell_exec в нескольких местах. Pimcore \ Tool \ Console :: execInBackground () фактически использует shell_exec. Но если он выключен и ваша система по-прежнему работает нормально, я могу подумать только об одном другом способе - использовать подход, аналогичный тому, как Pimcore выполняет пакетные задания в виде сетки. Таким образом, разделив работу на несколько пакетов, а затем используя вызовы AJAX для обработки пакетов. (например, выберите несколько объектов в виде сетки, щелкните правой кнопкой мыши и выберите «Удалить объекты»).
Мой первый выбор был с запросом Http, но из-за характера запроса (который является массовой вставкой и занимает много времени), Apache требуется длительное время завершения соединения / запроса. По этой причине также отбрасывается идея очереди заданий, которую мы используем для других заданий по расписанию.
Тогда лучше всего использовать систему очередей, такую как beanstalk (с включенным постоянством очереди): github.com/pda/pheanstalk