使用 sudo 从 Node.js 运行命令

Question

作为 Node.js 的新手，我有这个问题..

我在一些地方看到它不应该以root身份运行节点，例如this。我只是使用 node 来设置 simple Web 服务并执行需要 root 访问权限的 python 脚本。我只是不明白危险在哪里，就像黑客可以做什么。

我的 node.js 文件是这样的：-

var http = require('http');
var express = require('express');

var app = express();


app.use(express['static'](__dirname));


app.get('/alert', function(req, res) {
    var addr = req.query.addr;
    //~ need to check if it is a valid address??
    console.log('Received addr -' + addr);

    var spawn = require('child_process').spawn;

    var process = spawn('python', ['custom-text-led/custom-text.py', addr]);

    process.stdout.on('data', function(data) {
        console.log('Data:' + data);
    });


})

app.get('*', function(req, res) {
    res.status(404).send('Unrecognized API call');
});

app.use(function(err, req, res, next) {
    if (req.xhr) {
        res.status(500).send('Opps, something went wrong');
    } else {
        next(err);
    }
});

app.listen(3000);

console.log('App server running at port 3000');

Answer 1

在 MajidJafari 的工作（不幸的是，他输入的内容对我不起作用）的基础上，我想出了一些可行的方法，尽管非常复杂。

const process = spawn("sh", ["-c", "echo <password used for sudo user> | sudo -S bash -c '<enter command or multiple commands separated by && here>'"]);

包含在集合单括号''中的所有命令都将作为sudo运行。

Answer 2

根据来自StackExchange 平台的superuser 的this 帖子，您可以将password 传递给其他sudo 命令，如下所示：

echo <password> | sudo -S <command>

根据thisStackOverflow 的帖子，您可以像这样在spawn 中使用管道命令：

child.spawn('sh', args)
var args = ['-c', <the entire command you want to run as a string>];

经过几个小时的努力，我找到了解决方案。总结一下，你的答案是这样的：

import { spawn } from "child_process";
const process = spawn("sh", ["-c", "sudo -K << <password> <the entire command you want to run with sudo>"]);

我希望它能帮助你和像我这样的人。

Answer 3

如果存在任何安全问题，黑客可以做任何事情。 您可以授予运行 Web 服务器的用户执行您的任务打算执行的任务的权限。

一般情况下，尽可能避免 root（戴上锡箔帽）。