Hallo,
ich suche zur Absicherung meines Projektes eine Shell, welche es dem User ermöglicht Dateien hochzuladen, umzubennen, kopieren, editieren, Rechte zu ändern... und am besten das Browsen und Anwenden der nötigen Befehle nur unterhalb eines indivduellen Benutzer Directorys gestattet.
Welche Shell könnte so etwas oder ähnliches ermöglichen (außer chroot)?
Gruß
sonnenrot
Shell für Datentransfer (scp / sftp) gesucht
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Shell für Datentransfer (scp / sftp) gesucht
Ich benutze dafür scponly bzw. scponlyc. Alternativ gibt es noch RSSH.
Re: Shell für Datentransfer (scp / sftp) gesucht
die Beschreibung von scponlyc klingt so, als wäre es das was ich gesucht habe.
Ist es dann trotzdem noch möglich das mein lighty die PHP Scripte ausliefert, obwohl er sich nicht im Jail befindet? (unten m. /etc/group)
Falls ja würde scponlyc erheblich zur Sicherheit meines Etchservers beitragen.
group
user:x:100:lighttpd,user
user1:x:101:lighttpd,user1
Praxisfrage, weswegen würd immer noch ftp benutzt, wenn es solch alternativen gibt?
Ist es dann trotzdem noch möglich das mein lighty die PHP Scripte ausliefert, obwohl er sich nicht im Jail befindet? (unten m. /etc/group)
Falls ja würde scponlyc erheblich zur Sicherheit meines Etchservers beitragen.
group
user:x:100:lighttpd,user
user1:x:101:lighttpd,user1
Praxisfrage, weswegen würd immer noch ftp benutzt, wenn es solch alternativen gibt?
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Shell für Datentransfer (scp / sftp) gesucht
Ja, der Webserver könnte weiterhin außerhalb der chroot-Umgebung laufen, es geht ja nur darum, was die Benutzer via SFTP/SCP hoch-/herunterladen können. Wenn du unbedingt noch etwas in die chroot-Umgebung packen willst, dann mach das mit den PHP-Prozessen. spawn-fcgi hat entsprechende Parameter.sonnenrot wrote:Ist es dann trotzdem noch möglich das mein lighty die PHP Scripte ausliefert, obwohl er sich nicht im Jail befindet? (unten m. /etc/group)
sonnenrot wrote:Praxisfrage, weswegen würd immer noch ftp benutzt, wenn es solch alternativen gibt?
- SFTP/SCP benötigt mehr CPU-Leistung. Das fällt bei zweistelligen Benutzerzahlen nicht ins Gewicht, darüber schon.
- Nicht alle FTP-Clients unterstützen SFTP/SCP. Das ist für unbedarfte Benutzer aber wichtig.
- Verhältnismäßig größerer Einrichtungsaufwand.
- Nur 1 verbreitete Serverlösung (eben SFTP von OpenSSH), also keine Alternativen, wie bei den FTP-Servern (proftpd, pure-ftpd, vsftpd, ...)
- Virtuelle Benutzer schwer umzusetzen. Im Prinzip muss zu jedem SFTP-Benutzer ein Systembenutzer existieren.
Re: Shell für Datentransfer (scp / sftp) gesucht
Gute Idee, das lässt sich für mich auf den ersten Blick auch gut in den Lighttpd mit individuellen Userrechten Weg eingliedern.dann mach das mit den PHP-Prozessen. spawn-fcgi hat entsprechende Parameter.
Teste ich in den nächsten Tagen.
@Roger Wilco Danke für die Beantwortung meiner Fragen. Ich glaube das hat mich weiter gebracht und falls es das auch wirklich tut schreib ich eine kleine Anleitung dazu.
Re: Shell für Datentransfer (scp / sftp) gesucht
Wenn Du einen halbwegs aktuellen sshd hast (weiß nicht, welche Version Debian bei Etch verpuzzelt), kannst Du auch mit ForceCommand bestimmte User/Gruppen auf SFTP bzw. SCP festlegen.