即使更新了 sudoers，PHP 网页也不会启动 unix 命令

Question

基本上我正在尝试从 php 网页重新启动服务。

代码如下:

<?php
exec ('/usr/bin/sudo /etc/init.d/portmap restart');
?>

但是，在 /var/log/httpd/error_log 中，我得到了

unable to change to sudoers gid: Operation not permitted

在/var/log/messages 中，我得到

Sep 22 15:01:56 ri kernel: audit(1222063316.536:777): avc: denied { getattr } for pid=4851 comm="sh" name="var" dev=dm-0 ino=114241 scontext=root:system_r:httpd_sys_script_t tcontext=system_u:object_r:var_t tclass=dir
Sep 22 15:01:56 ri kernel: audit(1222063316.549:778): avc: denied { setrlimit } for pid=4851 comm="sudo" scontext=root:system_r:httpd_sys_script_t tcontext=root:system_r:httpd_sys_script_t tclass=process
Sep 22 15:01:56 ri kernel: audit(1222063316.565:779): avc: denied { read } for pid=4851 comm="sudo" name="shadow" dev=dm-0 ino=379669 scontext=root:system_r:httpd_sys_script_t tcontext=system_u:object_r:shadow_t tclass=file
Sep 22 15:01:56 ri kernel: audit(1222063316.568:780): avc: denied { read } for pid=4851 comm="sudo" name="shadow" dev=dm-0 ino=379669 scontext=root:system_r:httpd_sys_script_t tcontext=system_u:object_r:shadow_t tclass=file
Sep 22 15:01:56 ri kernel: audit(1222063316.571:781): avc: denied { setgid } for pid=4851 comm="sudo" capability=6 scontext=root:system_r:httpd_sys_script_t tcontext=root:system_r:httpd_sys_script_t tclass=capability
Sep 22 15:01:56 ri kernel: audit(1222063316.574:782): avc: denied { setuid } for pid=4851 comm="sudo" capability=7 scontext=root:system_r:httpd_sys_script_t tcontext=root:system_r:httpd_sys_script_t tclass=capability
Sep 22 15:01:56 ri kernel: audit(1222063316.577:783): avc: denied { setgid } for pid=4851 comm="sudo" capability=6 scontext=root:system_r:httpd_sys_script_t tcontext=root:system_r:httpd_sys_script_t tclass=capability

在我的 visudo 中，我添加了这些行

User_Alias WWW=apache

WWW ALL=(ALL) NOPASSWD:ALL

你能帮帮我吗？我做错了什么吗？

谢谢你的帮助，

泰邦

Answer 1

目前问题不在于 sudo，而在于 SELinux ，它(合理地)设置为拒绝 HTTPD 获得根权限。
您需要明确允许此操作(您可以为此使用 audit2allow)，或者将 SELinux 设置为宽松的。我建议前者。