ispCP - Board - Support
chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache (/thread-7523.html)



chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache - sun - 08-17-2009 03:03 AM

weiss jemand, ob es Sinn macht in einer chroot Umgebung (wie SSH-Zugang per jailkit), den SSH-User dem virtuellen User von Apache (sprich vu200x bei ISPCP) gleich zu setzen. Soll heissen, beim Anlegen eines neuen Users wird nur einen einzigen User per useradd dem System hingefügt. Der angelegte User gilt sowohl als virtueller User von Apache (suexec) als auch Systemuser, der per SSH einloggen kann. Der Gedank dahinter wäre, dem User den Umweg über FTP zu ersparren, in dem er automatisch als chrooted home-directory ein übergeordnetes Verzeichnis von dem DocumentRoot von Apache erhält und von dort aus die gängigen Befehle (wie wget, tar, scp ...) per shell ausführen kann. Oder birgt der Gedank Nachteile hinsichtlich Sicherheit?

Ich weiss nicht bei den gängigen CP wie Plesk & co, ob der SSH-User separat behandelt wird und keinen Zugriff auf die virtuelle Verzeichnisse von Apache des Users hat. Ich verstehe noch nicht ganz, welche Vorteile so ein SSH-Zugang bieten soll.


RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache - Knut - 08-17-2009 03:28 AM

Mit fallen folgende Vorteile sofort ein:

* Einfache MySQL-Datensicherung direkt auf dem Server
* Schnellere Transfers und Installationen
* Verschieben, löschen, kopieren geht schneller
* ...

Ich finde es (für mich) schon praktisch... für den Otto-Normal-User aber sicherlich nicht nötig.


RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache - sun - 08-17-2009 03:52 AM

ja, aber nehmen wir mal an, der SSH-User wird per chroot in /home/chroot/user eingesperrt. Jetzt möchtet er aber sein heruntergeladenes Skript (joomla.tar.gz) ins Apache virtuelle Verzeichnis /var/www/virtual/user verschieben und dort entpacken. Dann müsste er doch wieder per FTP das Skript von /home/chroot/user nach /var/www/virtual/user verschieben oder verstehe ich falsch?


RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache - ephigenie - 08-17-2009 04:26 AM

ja.

Wenn, dann ist sein Homedir /var/www/virtual/<domainbla.tld>/
"Richtiges" Chroot geht dann nicht soo einfach - weil halt noch die ganze Umgebung fehlt
also sämtliche binaries (kein tar z.B. Wink ) usw.

d.h. für jeden User, der im chroot ist, müsste man noch irgendwie eine Umgebung hinzaubern. Da könnte man dann zwar was zaubern mit einem Image, das dann mit mount -o loop usw. reingemountet wird und entsprechend eine read-only umgebung zur Verfügung stellt, aber da hörts mit dem limit von 4 gleichzeitigen loop mounts auch schon wieder auf. Andere Möglichkeit besteht dann darin, das chroot binary selbst zu verändern, dass es symlinks von aussen nach innen zulässt ... aber das ist eigentlich auch nicht so wirklich praktikabel (Sicherheitstechnisch usw...)


RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache - rbtux - 08-17-2009 04:55 AM

man kann die binarys auch statisch linken und danach einfach in ein bin verzeichnis innerhalb des chroots kopieren...


RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache - sun - 08-17-2009 05:18 AM

das Kopieren der libs könnte z.B mit jailkit automatisiert werden.

jk_cp -k /var/www/virtual/<domainbla.tld> '/usr/bin/perl'


RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache - ephigenie - 08-17-2009 07:34 AM

ja. Nur ist das halt Irrsinn, komplette Perlumgebungen etc für 300 Kunden doppelt vorzuhalten.
Da kommt man im Schnitt auf > 50M für Perl inkl. den C-libs die für die Perl-module z.T. gebraucht werden...


RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache - rbtux - 08-17-2009 07:46 AM

wieso ist ja das quota des kunden... Wer ssh will braucht halt etwas space... Dafür ist es sauber gelöst...