Current time: 11-27-2024, 09:20 AM Hello There, Guest! (LoginRegister)


Post Reply 
chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache
Author Message
sun Offline
Junior Member
*

Posts: 25
Joined: Mar 2008
Reputation: 0
Post: #1
chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache
weiss jemand, ob es Sinn macht in einer chroot Umgebung (wie SSH-Zugang per jailkit), den SSH-User dem virtuellen User von Apache (sprich vu200x bei ISPCP) gleich zu setzen. Soll heissen, beim Anlegen eines neuen Users wird nur einen einzigen User per useradd dem System hingefügt. Der angelegte User gilt sowohl als virtueller User von Apache (suexec) als auch Systemuser, der per SSH einloggen kann. Der Gedank dahinter wäre, dem User den Umweg über FTP zu ersparren, in dem er automatisch als chrooted home-directory ein übergeordnetes Verzeichnis von dem DocumentRoot von Apache erhält und von dort aus die gängigen Befehle (wie wget, tar, scp ...) per shell ausführen kann. Oder birgt der Gedank Nachteile hinsichtlich Sicherheit?

Ich weiss nicht bei den gängigen CP wie Plesk & co, ob der SSH-User separat behandelt wird und keinen Zugriff auf die virtuelle Verzeichnisse von Apache des Users hat. Ich verstehe noch nicht ganz, welche Vorteile so ein SSH-Zugang bieten soll.
08-17-2009 03:03 AM
Find all posts by this user Quote this message in a reply
Knut Offline
Member
***

Posts: 736
Joined: Nov 2006
Reputation: 10
Post: #2
RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache
Mit fallen folgende Vorteile sofort ein:

* Einfache MySQL-Datensicherung direkt auf dem Server
* Schnellere Transfers und Installationen
* Verschieben, löschen, kopieren geht schneller
* ...

Ich finde es (für mich) schon praktisch... für den Otto-Normal-User aber sicherlich nicht nötig.
08-17-2009 03:28 AM
Find all posts by this user Quote this message in a reply
sun Offline
Junior Member
*

Posts: 25
Joined: Mar 2008
Reputation: 0
Post: #3
RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache
ja, aber nehmen wir mal an, der SSH-User wird per chroot in /home/chroot/user eingesperrt. Jetzt möchtet er aber sein heruntergeladenes Skript (joomla.tar.gz) ins Apache virtuelle Verzeichnis /var/www/virtual/user verschieben und dort entpacken. Dann müsste er doch wieder per FTP das Skript von /home/chroot/user nach /var/www/virtual/user verschieben oder verstehe ich falsch?
(This post was last modified: 08-17-2009 03:53 AM by sun.)
08-17-2009 03:52 AM
Find all posts by this user Quote this message in a reply
ephigenie Offline
Project Leader
*******
Administrators

Posts: 1,578
Joined: Oct 2006
Reputation: 15
Post: #4
RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache
ja.

Wenn, dann ist sein Homedir /var/www/virtual/<domainbla.tld>/
"Richtiges" Chroot geht dann nicht soo einfach - weil halt noch die ganze Umgebung fehlt
also sämtliche binaries (kein tar z.B. Wink ) usw.

d.h. für jeden User, der im chroot ist, müsste man noch irgendwie eine Umgebung hinzaubern. Da könnte man dann zwar was zaubern mit einem Image, das dann mit mount -o loop usw. reingemountet wird und entsprechend eine read-only umgebung zur Verfügung stellt, aber da hörts mit dem limit von 4 gleichzeitigen loop mounts auch schon wieder auf. Andere Möglichkeit besteht dann darin, das chroot binary selbst zu verändern, dass es symlinks von aussen nach innen zulässt ... aber das ist eigentlich auch nicht so wirklich praktikabel (Sicherheitstechnisch usw...)
08-17-2009 04:26 AM
Visit this user's website Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #5
RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache
man kann die binarys auch statisch linken und danach einfach in ein bin verzeichnis innerhalb des chroots kopieren...
(This post was last modified: 08-17-2009 04:55 AM by rbtux.)
08-17-2009 04:55 AM
Visit this user's website Find all posts by this user Quote this message in a reply
sun Offline
Junior Member
*

Posts: 25
Joined: Mar 2008
Reputation: 0
Post: #6
RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache
das Kopieren der libs könnte z.B mit jailkit automatisiert werden.

jk_cp -k /var/www/virtual/<domainbla.tld> '/usr/bin/perl'
08-17-2009 05:18 AM
Find all posts by this user Quote this message in a reply
ephigenie Offline
Project Leader
*******
Administrators

Posts: 1,578
Joined: Oct 2006
Reputation: 15
Post: #7
RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache
ja. Nur ist das halt Irrsinn, komplette Perlumgebungen etc für 300 Kunden doppelt vorzuhalten.
Da kommt man im Schnitt auf > 50M für Perl inkl. den C-libs die für die Perl-module z.T. gebraucht werden...
08-17-2009 07:34 AM
Visit this user's website Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #8
RE: chrooted SSH-Zugang und virtuelle Verzeichnisse von Apache
wieso ist ja das quota des kunden... Wer ssh will braucht halt etwas space... Dafür ist es sauber gelöst...
08-17-2009 07:46 AM
Visit this user's website Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)