質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.59%

PHPでCRON操作について

受付中

回答 2

投稿

  • 評価
  • クリップ 2
  • VIEW 1,438

score 18

PHPでCRONを操作する画面を作りたいと考えています。

現状では

$cron = popen("/usr/bin/crontab -", "w");
$line = "*/15 * * * * php /var/www/html/abcde.com/cron/createDB.php";
fwrite($cron, $line);
pclose($cron);

上記で正常にCRONを稼働させる事が出来ています。

これをユーザ毎に操作する事を可能にしたいと思い、

$cron = popen("/usr/bin/crontab -u user1", "w");
$line = "*/15 * * * * php /var/www/html/abcde.com/cron/createDB.php";
fwrite($cron, $line);
pclose($cron);

としてみましたがCRONファイルを正常に作成する事が出来ませんでした。

user1はLinuxのコマンドで useradd -s /sbin/nologin -M user1 として予め作成しております。

PHPではそもそもユーザ毎のCRONファイルを作成する事は出来ないのでしょうか?

ご教授頂ければ幸いです。

宜しくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • asahina1979

    2019/03/04 07:14

    見るコマンドと書くコマンドは違うよ
    apache を root ユーザーで動かすなんて怖いな

    キャンセル

回答 2

+3

他のユーザのcrontabを操作するにはroot権限が必要ですが、そのあたりはどうなっていますか?

-についてはマニュアルの記述は以下のようになっていましたが実験してみたところなければないで標準入力から読む動作にはなるようでしたので忘れていいです。

ただ、asahina1979さんも書いているとおり、PHPをwebからroot権限で動作させることはとても危険ですからあまりおすすめはできないのは変わりません。


単純に-user user1を追加したときに、-を落としてしまったからだと思います。この使い方をするときに-はインストールする内容を標準入力から読むことを指定するという重要な意味を持ちます。以下crontab(1)より:

書式

crontab [ -u user ] file 
crontab [ -u user ] { -l | -r | -e } 
このコマンドの 1 つ目の書式は、 新しい crontab を(何らかの名前の付けられた)ファイル、 もしくは標準入力(疑似ファイル名 ``-'' が与えられた場合)から インストールするために使われる。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+3

セキュリティ的に大問題だからやめてください。

それをされるとインターネット上に公開しているWebサーバを簡単に乗っ取られているから禁止しているのです。
任意コードが実行出来るということは、公開鍵を送りつけられて~/.ssh/authorized_keysへ保存出来るって事ですね、そうすれば次から大手を振ってSSHでログインしていくらでもコマンドを実行出来ます。

そんなの自己責任じゃんという話ですが、
例えuser1と隔離されたアカウントでも大問題です。
まずこのuser1アカウントは以下が可能ですか?

  • HTTPリクエストを他のサーバへ投げる
    →DoS攻撃に使われる
    偽計業務妨害で逮捕
    →明確なDoS攻撃スクリプトなので一発アウト
  • user1さんの権限でファイルをApacheが管理しているディレクトリへファイルを保存
    →児童ポルノをApacheの配信サーバへ設置
    単純所持で逮捕
    →1年以下の懲役または100万円以下の罰金

この辺の対策を一歩でも間違えた瞬間、
あなたは犯罪者として生活していくことになります。

これを設定したのは誰ですか?って話になりますからね。
もし私が攻撃者ならログファイルは当然消しますので、相当限られた手段と痕跡と他人の仕業と説明する必要があるでしょう。


以下、質問者さんの要望を、
ある程度セキュリティ的に緩和しながら実装する案になります。

まず、HTTPリクエストを受け付けるWebサーバとcrontabを設定して動作させるマシンを分離してください。
HTTPリクエストに従ってCronでやってほしい内容をMySQLなどのデータベースへ格納します。

その後、sudo /path/to/apply-crontab.phpという感じの反映用PHPを実行します。
このファイル内でMySQLなどのデータベースからcronで実行したい記述を読み取り、
新しいcrontabのファイルを生成して然るべきディレクトリに配置します。

もちろん、crontabを書き換えるマシンはMySQLのアカウント情報に読み込み権限しか持たせないようにしておきましょう。
ログもちゃんと取ってどのIPのユーザがA→Bの変化を起こさせたかを時系列に出せるようにしておけば
万が一悪意のユーザが訪れてマシンが乗っ取られたとしても、すぐに気付けますし追えます。

出来る事なら実行頻度や使えるPHPファイルも強烈に制限しましょう。
特定のディレクトリに存在するPHPファイルをセレクトボックスで選べる程度の自由度しか与えられないみたいな作りが望ましいです。


これが最低限やっておくべき対策です。

質問文のやりたい事をそのまま回答しても無駄ですので控えました。
crhgさんのアドバイスでいけそうですしね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/03/04 14:26

    セキュリティについては当方も十分に承知しております。
    当方はそのやり方について質問しているのであって、環境についての言及はしておりません。
    ご指摘は非常に有り難い事ではありますが、
    言及していない事柄についてのご批判は控えて頂きたく思います。
    今回は外部に接続しない完全なクローズ環境で使用となりますので、管理画面にこのような機能を持たせる事を考慮した次第です。

    キャンセル

  • 2019/03/04 14:40 編集

    皆さん聞きまして?知ってると言いましたよ?

    もしGoogleで検索して訪れたあなたの質問を見たユーザが、
    知らずに行って逮捕されたらどう責任とってくれるのですか?

    当然質問文に盛り込まれて入れるべきなのですが…
    質問文に注釈入れましたか?入れてないですよね?
    なら貴方のこの質問文は怠慢なのですか?
    それとも犯罪行為を広める目的としてQ&Aサイトを利用しているのですか?

    ともかく私が後日ここを覗くかも知れない未来の善良なエンジニアの為に注釈として残しただけの話です。

    > 今回は外部に接続しない完全なクローズ環境で使用となりますので、管理画面にこのような機能を持たせる事を考慮した次第です。

    ほぅ?
    質問文に一言も書かずに後付の状況を足して正当性を主張しようとは、些か誠実さに欠けるのではないですか?

    キャンセル

  • 2019/03/04 22:32

    完全クローズされた環境? LANケーブルは刺さってますか?

    キャンセル

  • 2019/03/04 22:36

    ちなみに
    「WannaCry」の拡散続く「クローズドな環境だから安全という思い込みが脆弱性」

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.59%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る