Exécuter des scripts root depuis le serveur web apache

Création du script root

Sous le compte root, créer le script mon-script-root.sh suivant dans le répertoire /root/ :

#!/bin/bash
ifconfig

Donner les droits d'exécution sur ce script :

root@machine_locale ~]# chmod u+x mon-script-root.sh
root@machine_locale ~]#

Ajouter cette ligne au fichier /etc/sudoers/ en utilisant la commande visudo.

apache     ALL=(ALL) NOPASSWD: /root/mon-script-root.sh

La commande visudo met un verrou sur le fichier /etc/sudoers/ pendant qu'on l'édite.
Cette ligne donne le droit d'exécution à l'utilisateur apache sur le fichier mon-script-root.sh sans demande de mot de passe.
Un simple script Php exécuté par apache pourra lancer cette commande.
Remarque : Il est possible de donner directement les droits d'exécution à la commande ifconfig, mais ça présenterait un risque de sécurité. ifconfig permettant de monter ou démonter des interfaces réseaux. A travers ce script, on est certain de l'appel d'ifconfig sans paramètre.

Exécution depuis le serveur web

Sous le compte adéquat (utilisateur, apache ?), créer le script ma-commande.php suivant dans un répertoire de votre arborescence web :

<html>
<head>
  <title>Commande root depuis apache</title>
</head>
<body>
  <h1>Commande root depuis apache</h1>
  <pre>
  <?php passthru("/usr/bin/sudo /root/mon-script-root.sh"); ?>
  </pre>
</body>
</html>

Il n'y a plus qu'a tester ce script dans votre navigateur préféré. Vous devriez voir un truc comme ça :

Problème possible

Si votre script refuse toujours de s'exécuter, il y a peut-être un problème dans /etc/sudoers. Ouvrir le fichier avec visudo.
Si vous voyez cette ligne dans le fichier:

Defaults    requiretty

Cette ligne impose aux commandes sudo d'être exécutées depuis un terminal.
Pour autoriser apache à exécuter ces commandes sans terminal, ajouter cette directive :

Defaults:apache !requiretty

Ce problème m'a contrarié pas mal de temps avant de trouver la solution sur internet.

Exécuter des scripts root depuis le serveur web apache

Objectifs et mises en garde

Pré-requis

Création du script root

Exécution depuis le serveur web

Problème possible