billing:howto:sudoers

Корректировка sudoers

С 3.03.04 был изменен способ запуска скриптов с:

sudo -u root script.sh

на

script.sh

сам вызов sudo переместился внутрь скрипта, запуская с правами sudo только нужную команду а не целый скрипт.
Обратите внимание на все ваши модификации которые возможно производились с скриптами биллинга, теперь они будут запускаться не от root а от web сервера (apache или www-data).

Теперь можно убрать полное разрешение запуска команд для web сервера в /etc/sudoers.d/mikbill или /etc/sudoers:

apache ALL=(ALL:ALL)	NOPASSWD:ALL

Заменив его на:

apache ALL=(ALL) NOPASSWD:/sbin/service radiusd restart,/usr/bin/radclient,/bin/echo,/usr/bin/snmpwalk

Разрешив запускать:
/sbin/service - для перезапуска радиуса (необходимо при изменении тарифа/сис.опций/справочников)
radclient (управление CoA/PoD)
/bin/echo - используется для передачи параметров на radclient.
/usr/bin/snmpwalk - для перезапуска порта на устройства (если используется)


ps: Путь и способ перезапуска может отличаться у каждой OS.
pps: Так же стоит проверить права на директории радиуса.

  • billing/howto/sudoers.txt
  • Последнее изменение: 5 лет назад
  • alexd