是否可以使用 NGINX 的 root 权限执行 bash 脚本并获取输出？

Question

我在 Openresty 构建下运行 Nginx，因此启用了 Lua 脚本。我想创建一个 URI 位置（除了 IP 白名单外，还将使用 SSL +身份验证进行保护），它允许来自授权来源的 webhook 调用使用 root 权限在服务器上执行 bash 脚本。例如

https://someserver.com/secured/exec?script=script.sh&param1=uno&param2=dos

NGINX 将使用 'script' 和 'param#' GET 请求参数在 shell 中执行“script.sh uno dos”。它捕获脚本输出和 bash 返回代码（如果可能的话）。

我了解以 root 身份运行 NGINX 并运行任意命令的安全隐患，但如前所述，对 URI 的访问是安全的。

这是否可以通过本机 NGINX 模块或 Lua 脚本实现？有什么示例代码可以让我开始吗？

谢谢。

Answer 1

还有另一种可能的解决方案，不需要额外的 nginx lua 插件。这是使用socat。你在端口 8080 上启动一个 socat，它在每个连接上执行一个 bash 脚本

socat TCP4-LISTEN:8080,reuseaddr,fork EXEC:./test.sh

test.sh

#!/bin/bash

recv() {
    echo "< $@" >&2;
}

read line
line=${line%%$'\r'}
recv "$line"

read -r REQUEST_METHOD REQUEST_URI REQUEST_HTTP_VERSION <<<"$line"

declare -a REQUEST_HEADERS

while read -r line; do
    line=${line%%$'\r'}
    recv "$line"

    # If we've reached the end of the headers, break.
    [ -z "$line" ] && break

    REQUEST_HEADERS+=("$line")
done
eval $(echo $REQUEST_URI | awk -F? '{print $2}' | awk -F'&' '{for (i=1;i<=NF;i++) print $i}')


cat <<END1
HTTP/1.1 200 OK
Content-Type: plain/text

REQUEST_METHOD=$REQUEST_METHOD
REQUEST_URI=$REQUEST_URI
REQUEST_HTTP_VERSION=$REQUEST_HTTP_VERSION
REQUEST_HEADERS=$REQUEST_HEADERS
script=$script
param1=$param1
param2=$param2
END1

卷曲测试如下

$ curl "localhost:8080/exec?script=test2.sh&param1=abc&param2=def"
REQUEST_METHOD=GET
REQUEST_URI=/exec?script=test2.sh&param1=abc&param2=def
REQUEST_HTTP_VERSION=HTTP/1.1
REQUEST_HEADERS=Host: localhost:8080
script=test2.sh
param1=abc
param2=def

因此，您可以轻松地将其用于 nginx 中的proxy_pass。

如果您需要使用 socat 在 bash 中查看完整的服务器，请查看 https://github.com/avleen/bashttpd/blob/master/bashttpd