CVS absichern

[dea]

Kann mir jemand Doku "zeigen" in der beschrieben wird, wie ich einen CVS-Server einigermaßen absichern kann?

Wenn dabei dann noch ein paar Hintergrundinformationen stünden wäre es klasse ;)

[arty]

Hi dea,

vielleicht könnte dir das weiterhelfen: http://kitenet.net/~joey/sshcvs/

bye
arty

[captaincrunch]

Die "sicherste" Methode habe ich bisher hier gesehen :
http://www.idealx.org/doc/chrooted-ssh- ... er.en.html

Auch ganz nett :
http://www.tldp.org/HOWTO/Secure-CVS-Pserver/index.html

und
http://www.cycom.co.uk/howto/cvssshtunnel.html

Auch hier kommt's aber (wie so oft) darauf an, was genau du vorhast.

[dea]

Danke erstmal :) Jetzt hab' ich wieder Lesestoff ... ;)

Naja - ich will einen mehr oder weniger privaten CVS-Server für meine Projekte aufsetzen. D.h. natürlich zunächst, dass ich den Zugang per se erstmal absichern muss, also den CVS-Server selber.

Später kommen dann leider auch Themen wie Zugangskontrolle usw. auf mich zu, es zeichnet sich ab, dass der CVS-Server nicht nur von mir benutzt werden wird. Aber vorerst werd' ich ihn alleine verwenden.

[captaincrunch]

Sofern du ihne alleine verwendest, reicht der "Standard" ohne pserver vollkommen aus, du arbeitest dann halt mit ssh-Keys.

Sofern nachher pserver dazukommt, wird die Sache schon interessanter, in dem Fall würde ich das ganze direkt schon in ein chroot verpflanzen. Kleiner Tip hierzu für diejenigen, denen es dabei nicht so sehr auf den Platz ankommt : unter Debian lässt sich per "debootstrap" sehr schnell und komfortabel ein komplettes chroot aufsetzen.

Sofern du gerne nähere Infos dazu hättest, kann ich dir da spätestens in ein paar Tagen mehr zu erzählen, da ich das neue CVS-System für's Debianhowto fast fertig habe, und da jetzt auch viel mit pserver, Zugangskontrollen, usw. gemacht wird. Ist eigentlich recht simpel.

[dea]

Hmm - so wie ich das momentan blicke ist der ZUgang bzw. die Authentisierung und Autorisierung der Knackpunkt am Ganzen. Oder liege ich da falsch?

Der CVS-Service an sich scheint ja "sicher" zu sein, nur bei der Zugangsmethote (pserver, gssapi, etc.) scheiden sich die Geister ...

arty: Joey Hess, vor dem muss ich immer wieder meinen Hut ziehen :)

Sofern du gerne nähere Infos dazu hättest, kann ich dir da spätestens in ein paar Tagen mehr zu erzählen, da ich das neue CVS-System für's Debianhowto fast fertig habe, und da jetzt auch viel mit pserver, Zugangskontrollen, usw. gemacht wird. Ist eigentlich recht simpel.

Klaro :) Mit debootstrap kenne ich mich zwar schon recht gut aus (btw: mein rootie läuft seit vorhin wieder :) ), aber CVS im chroot klingt interessant :)

[captaincrunch]

Der CVS-Service an sich scheint ja "sicher" zu sein, nur bei der Zugangsmethote (pserver, gssapi, etc.) scheiden sich die Geister ...

Jein. CVS verwendet standardmäßig (und per pserver) Klartextkommunikation (also auch Passworte). Sofern du den CVS für dich alleine betreibst, hast du kein Problem, da du sehr komfortabel per ssh arbeiten kannst.

Nachteil daran ist aber, dass du "externen" auch (mehr oder weniger) Shellzugriff ermögichen, oder halt pserver / gssapi gehen müsstest. Gerade pserver scheint aber auch nicht gerade das Sicherste vom Sicheren zu sein, weshalb sich hier ein chroot anbietet.

Für's Debianhowto sieht das ganze so aus, das die komplette CVS-Umgebung im chroot läuft, wobei ein paar Leute per ssh-Key (aber immer noch nur im chroot) arbeiten, und der Rest auf den pserver im chroot zugreift, ohne dass ich mir großartige Sorgen machen müsste.
Das chroot ist im übrigen wie gesagt per debootsrap erstellt, so sind zwar zwei "eigene" Systeme zu pflegen (da apt-get auch extra im chroot funtkioniert), ich persönlich find's aber sehr praktisch, da in dem Fall ohnehin kein Platzmangel herrscht.

[olaf.dietsche]

Hier ist noch ein bischen Lesestoff:
http://www.stunnel.org/examples/
http://www.stunnel.org/examples/cvs.html

[gierig]

Das chroot ist im übrigen wie gesagt per debootsrap erstellt

hast du dazu mal ein beispiel ? das klingt sehr Interesant.

[dea]

Nachteil daran ist aber, dass du "externen" auch (mehr oder weniger) Shellzugriff ermögichen, oder halt pserver / gssapi gehen müsstest. Gerade pserver scheint aber auch nicht gerade das Sicherste vom Sicheren zu sein, weshalb sich hier ein chroot anbietet.

Ich hab' mich mal ein wenig in Joeys Beschreibung eingelesen und daran Gefallen gefunden :) ich denke, ich werde es ähnlich machen allerdings ohne anonymen Zugang. Die Konzeption ist unkompliziert und relativ einfach zu realisieren.

Für's Debianhowto sieht das ganze so aus, das die komplette CVS-Umgebung im chroot läuft, wobei ein paar Leute per ssh-Key (aber immer noch nur im chroot) arbeiten, und der Rest auf den pserver im chroot zugreift, ohne dass ich mir großartige Sorgen machen müsste.

Warum noch pserver im chroot? Wenn ich nach Joeys Konzeption gehe, greifen die Anwender doch letztendlich über :local: auf das CVS zu (Zeile "... command= ... cvs server" in ~/.ssh/authorized_keys) oder hab' ich was übersehen?

Das chroot ist im übrigen wie gesagt per debootsrap erstellt, so sind zwar zwei "eigene" Systeme zu pflegen (da apt-get auch extra im chroot funtkioniert), ich persönlich find's aber sehr praktisch, da in dem Fall ohnehin kein Platzmangel herrscht.

debootstrap rockt :-D Ich nehme es ab und zu her, um meine Backports zu testen. Da ich mit debootstrap auch sarge und sid innerhalb kürzester Zeit abbilden kann ist das auch kein Aufwand :-D Ich glaub' das könnte mein nächstes Thema werden ... ;)

hast du dazu mal ein beispiel ? das klingt sehr Interesant.

Mach mal "man debootstrap", dann wird es fast schon zum Augenöffner ;)

Ansonsten:

1. chroot-Verzeichnis erstellen ($CHROOTDIR)
2. 'debootstrap --arch i386 woody ${CHROOTDIR} ftp://ftp.de.debian.org'
3. chroot ${CHROOTDIR} /bin/bash
4. 'dpkg-reconfigure console-data' und grundlegende Konfiguration v. Netzwerk, fstab, usw.
5. 'base-config'
6. Fertig

Nähere Informationen auch in der Debian-Installationsanleitung (Installation von Debian aus einem laufenen UNIX/Linux) ...

[captaincrunch]

Warum noch pserver im chroot? Wenn ich nach Joeys Konzeption gehe, greifen die Anwender doch letztendlich über :local: auf das CVS zu (Zeile "... command= ... cvs server" in ~/.ssh/authorized_keys) oder hab' ich was übersehen?

So weit ich das bisher gelesen habe, benötigt der User dann auch ssh-Zugriff, was ich gerne umgehen möchte.
pserver im chroot gibt ansonsten halt ein etwas größeres Gefühl von "Sicherheit" ... ;)

[dea]

Warum noch pserver im chroot? Wenn ich nach Joeys Konzeption gehe, greifen die Anwender doch letztendlich über :local: auf das CVS zu (Zeile "... command= ... cvs server" in ~/.ssh/authorized_keys) oder hab' ich was übersehen?

So weit ich das bisher gelesen habe, benötigt der User dann auch ssh-Zugriff, was ich gerne umgehen möchte.
pserver im chroot gibt ansonsten halt ein etwas größeres Gefühl von "Sicherheit" ... ;)

Hmm - soweit _ich_ gelesen habe, soll pserver "die Quelle des Ã?bels" sein ... ;)

Aber wenn Du nach Joeys Konzeption gehst, die Dich auch nicht am chrooten hindert, läuft jegliche Kommunikation über ssh. Der Knackpunkt ist allerdings die lokale Verwendung des CVS durch den EIntrag "command= ... cvs server" in der authorized_keys durch den, so habe ich es verstanden, dieser unprivilegierte User einerseits CVS zur Verfügung stellt und andererseits über die bekannten Mechanismen von SSH die Authentisierung durchgeführt wird.