ispCP - Board - Support
Serverindividualisierung mit ISP-CP vereinbar gestalten - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: Serverindividualisierung mit ISP-CP vereinbar gestalten (/thread-4229.html)



Serverindividualisierung mit ISP-CP vereinbar gestalten - Diggo - 09-10-2008 08:16 PM

Moin,

komisches Topic, aber mir ist gerade nichts besseres eingefallen.
Ich wollte mal eure Meinung hören zu dem folgenden Thema:

Ich bin was Rootserver angeht einer der Loglevel paranoid verwendet. Demensprechend werde ich auch den Server an allen Ecken und Enden auf Verschlüsselung trimmen. Nun hab ich z.B. FTP mit TLS auf "forced" gestellt. D.h. user müssen die verschlüsselte Verbindung nutzen und kommen nicht mehr mit einem "allerwelts FTP Programm" rein.

Hier beißt es sich aber mit ISP-CP, weil dann die ganzen Tools wie WebFTP (brauch ich eh nicht, kann man das irgendwo abschalten?) nicht mehr funktionieren.
Solange ich aber noch nicht raushabe, wie ich mich der ganzen eingebauten Tools entledige oder sie abschalte habe ich folgenden Weg gewählt:

Ich habe für Proftp die Configfile geclont und die geclonte File zu einem VirtualHost umgeschrieben. Den Virtual Host habe ich an Localhost bzw. 127.0.0.1 gebunden. An dieser Stelle habe ich dann TLS herausgenommen.
Anschließend habe ich die virtual Host file am Ende der Proftpd.conf mit einem "include" eingebunden.

Im Ergebnis habe ich, dass der FTP-Server für Verbindungen von extern TLS-Auth einfordert und bei einer Verbindung über localhost unverschlüsselten Zugang gewährt. WebFTP funktioniert nun wieder und ich bin der Meinung das Klartextpasswörter nicht mehr übertragen werden. Geprüft habe ich das aber noch nicht (bisher keine Zeit zum Sniffen).

Meine Frage wäre nun,
A.) ist das so korrekt, oder habe ich irgendwo einen Denkfehler, der ein Loch in mein Konzept reißt?
B.) Wenn das so okay, ist, wäre es evtl. sinnvoll ein Ticket dafür zu eröffnen, dass es von ISP-CP ein vorgegebenes Includeverzeichnis gibt, welches bei einem Upgrade von ISP-CP nicht überschrieben wird, sodass Updates ohne Config neuschreiben bzw. Backup&Restore derselben auskommt.

Gruß,
Dennis


RE: Serverindividualisierung mit ISP-CP vereinbar gestalten - Gos77 - 09-10-2008 08:51 PM

Moins Diggo,

hast Du mal die working-Verzeichnisse in /etc/ispcp verglichen? Möglicherweise reicht es, wenn Du dort deine entsprechenden Anpassungen einpflegst damit ispcp das nicht überschreibt. Bei einem Update würde ich sagen, müsstest Du natürlich entsprechende Verzeichnisse und Dateien vorher sichern und nach dem Update zurückspielen, testen und gegebenenfalls den ispcp-Neuerungen anpassen.

Idee mit dem WebFTP-Client klingt aber schonmal nicht schlecht. Wäre da an einem kurzen HowTo interessiert Big Grin

Gruß Gos77