CVS absichern

Lesenswerte Artikel, Anleitungen und Diskussionen
dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

CVS absichern

Post by dea » 2003-07-29 16:41

Kann mir jemand Doku "zeigen" in der beschrieben wird, wie ich einen CVS-Server einigermaßen absichern kann?

Wenn dabei dann noch ein paar Hintergrundinformationen stünden wäre es klasse ;)

arty
Userprojekt
Userprojekt
Posts: 761
Joined: 2002-06-12 10:11

Re: CVS absichern

Post by arty » 2003-07-29 16:56

Hi dea,

vielleicht könnte dir das weiterhelfen: http://kitenet.net/~joey/sshcvs/

bye
arty

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: CVS absichern

Post by captaincrunch » 2003-07-29 17:01

Die "sicherste" Methode habe ich bisher hier gesehen :
http://www.idealx.org/doc/chrooted-ssh- ... er.en.html

Auch ganz nett :
http://www.tldp.org/HOWTO/Secure-CVS-Pserver/index.html

und
http://www.cycom.co.uk/howto/cvssshtunnel.html

Auch hier kommt's aber (wie so oft) darauf an, was genau du vorhast.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: CVS absichern

Post by dea » 2003-07-29 17:22

Danke erstmal :) Jetzt hab' ich wieder Lesestoff ... ;)

Naja - ich will einen mehr oder weniger privaten CVS-Server für meine Projekte aufsetzen. D.h. natürlich zunächst, dass ich den Zugang per se erstmal absichern muss, also den CVS-Server selber.

Später kommen dann leider auch Themen wie Zugangskontrolle usw. auf mich zu, es zeichnet sich ab, dass der CVS-Server nicht nur von mir benutzt werden wird. Aber vorerst werd' ich ihn alleine verwenden.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: CVS absichern

Post by captaincrunch » 2003-07-29 17:25

Sofern du ihne alleine verwendest, reicht der "Standard" ohne pserver vollkommen aus, du arbeitest dann halt mit ssh-Keys.

Sofern nachher pserver dazukommt, wird die Sache schon interessanter, in dem Fall würde ich das ganze direkt schon in ein chroot verpflanzen. Kleiner Tip hierzu für diejenigen, denen es dabei nicht so sehr auf den Platz ankommt : unter Debian lässt sich per "debootstrap" sehr schnell und komfortabel ein komplettes chroot aufsetzen.

Sofern du gerne nähere Infos dazu hättest, kann ich dir da spätestens in ein paar Tagen mehr zu erzählen, da ich das neue CVS-System für's Debianhowto fast fertig habe, und da jetzt auch viel mit pserver, Zugangskontrollen, usw. gemacht wird. Ist eigentlich recht simpel.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: CVS absichern

Post by dea » 2003-07-29 17:35

Hmm - so wie ich das momentan blicke ist der ZUgang bzw. die Authentisierung und Autorisierung der Knackpunkt am Ganzen. Oder liege ich da falsch?

Der CVS-Service an sich scheint ja "sicher" zu sein, nur bei der Zugangsmethote (pserver, gssapi, etc.) scheiden sich die Geister ...

arty: Joey Hess, vor dem muss ich immer wieder meinen Hut ziehen :)
CaptainCrunch wrote:Sofern du gerne nähere Infos dazu hättest, kann ich dir da spätestens in ein paar Tagen mehr zu erzählen, da ich das neue CVS-System für's Debianhowto fast fertig habe, und da jetzt auch viel mit pserver, Zugangskontrollen, usw. gemacht wird. Ist eigentlich recht simpel.
Klaro :) Mit debootstrap kenne ich mich zwar schon recht gut aus (btw: mein rootie läuft seit vorhin wieder :) ), aber CVS im chroot klingt interessant :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: CVS absichern

Post by captaincrunch » 2003-07-29 17:51

Der CVS-Service an sich scheint ja "sicher" zu sein, nur bei der Zugangsmethote (pserver, gssapi, etc.) scheiden sich die Geister ...
Jein. CVS verwendet standardmäßig (und per pserver) Klartextkommunikation (also auch Passworte). Sofern du den CVS für dich alleine betreibst, hast du kein Problem, da du sehr komfortabel per ssh arbeiten kannst.

Nachteil daran ist aber, dass du "externen" auch (mehr oder weniger) Shellzugriff ermögichen, oder halt pserver / gssapi gehen müsstest. Gerade pserver scheint aber auch nicht gerade das Sicherste vom Sicheren zu sein, weshalb sich hier ein chroot anbietet.

Für's Debianhowto sieht das ganze so aus, das die komplette CVS-Umgebung im chroot läuft, wobei ein paar Leute per ssh-Key (aber immer noch nur im chroot) arbeiten, und der Rest auf den pserver im chroot zugreift, ohne dass ich mir großartige Sorgen machen müsste.
Das chroot ist im übrigen wie gesagt per debootsrap erstellt, so sind zwar zwei "eigene" Systeme zu pflegen (da apt-get auch extra im chroot funtkioniert), ich persönlich find's aber sehr praktisch, da in dem Fall ohnehin kein Platzmangel herrscht.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

olaf.dietsche
RSAC
Posts: 409
Joined: 2002-12-19 02:06
Location: Siegburg

Re: CVS absichern

Post by olaf.dietsche » 2003-07-29 18:52


gierig
Posts: 286
Joined: 2002-10-15 16:59
Location: WHV

Re: CVS absichern

Post by gierig » 2003-07-30 12:14

Das chroot ist im übrigen wie gesagt per debootsrap erstellt
hast du dazu mal ein beispiel ? das klingt sehr Interesant.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: CVS absichern

Post by dea » 2003-07-30 14:29

CaptainCrunch wrote:Nachteil daran ist aber, dass du "externen" auch (mehr oder weniger) Shellzugriff ermögichen, oder halt pserver / gssapi gehen müsstest. Gerade pserver scheint aber auch nicht gerade das Sicherste vom Sicheren zu sein, weshalb sich hier ein chroot anbietet.
Ich hab' mich mal ein wenig in Joeys Beschreibung eingelesen und daran Gefallen gefunden :) ich denke, ich werde es ähnlich machen allerdings ohne anonymen Zugang. Die Konzeption ist unkompliziert und relativ einfach zu realisieren.
CaptainCrunch wrote:Für's Debianhowto sieht das ganze so aus, das die komplette CVS-Umgebung im chroot läuft, wobei ein paar Leute per ssh-Key (aber immer noch nur im chroot) arbeiten, und der Rest auf den pserver im chroot zugreift, ohne dass ich mir großartige Sorgen machen müsste.
Warum noch pserver im chroot? Wenn ich nach Joeys Konzeption gehe, greifen die Anwender doch letztendlich über :local: auf das CVS zu (Zeile "... command= ... cvs server" in ~/.ssh/authorized_keys) oder hab' ich was übersehen?
CaptainCrunch wrote:Das chroot ist im übrigen wie gesagt per debootsrap erstellt, so sind zwar zwei "eigene" Systeme zu pflegen (da apt-get auch extra im chroot funtkioniert), ich persönlich find's aber sehr praktisch, da in dem Fall ohnehin kein Platzmangel herrscht.
debootstrap rockt :-D Ich nehme es ab und zu her, um meine Backports zu testen. Da ich mit debootstrap auch sarge und sid innerhalb kürzester Zeit abbilden kann ist das auch kein Aufwand :-D Ich glaub' das könnte mein nächstes Thema werden ... ;)
gierig wrote:hast du dazu mal ein beispiel ? das klingt sehr Interesant.
Mach mal "man debootstrap", dann wird es fast schon zum Augenöffner ;)

Ansonsten:

1. chroot-Verzeichnis erstellen ($CHROOTDIR)
2. 'debootstrap --arch i386 woody ${CHROOTDIR} ftp://ftp.de.debian.org'
3. chroot ${CHROOTDIR} /bin/bash
4. 'dpkg-reconfigure console-data' und grundlegende Konfiguration v. Netzwerk, fstab, usw.
5. 'base-config'
6. Fertig

Nähere Informationen auch in der Debian-Installationsanleitung (Installation von Debian aus einem laufenen UNIX/Linux) ...

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: CVS absichern

Post by captaincrunch » 2003-07-30 19:26

Warum noch pserver im chroot? Wenn ich nach Joeys Konzeption gehe, greifen die Anwender doch letztendlich über :local: auf das CVS zu (Zeile "... command= ... cvs server" in ~/.ssh/authorized_keys) oder hab' ich was übersehen?
So weit ich das bisher gelesen habe, benötigt der User dann auch ssh-Zugriff, was ich gerne umgehen möchte.
pserver im chroot gibt ansonsten halt ein etwas größeres Gefühl von "Sicherheit" ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: CVS absichern

Post by dea » 2003-07-30 19:44

CaptainCrunch wrote:
Warum noch pserver im chroot? Wenn ich nach Joeys Konzeption gehe, greifen die Anwender doch letztendlich über :local: auf das CVS zu (Zeile "... command= ... cvs server" in ~/.ssh/authorized_keys) oder hab' ich was übersehen?
So weit ich das bisher gelesen habe, benötigt der User dann auch ssh-Zugriff, was ich gerne umgehen möchte.
pserver im chroot gibt ansonsten halt ein etwas größeres Gefühl von "Sicherheit" ... ;)
Hmm - soweit _ich_ gelesen habe, soll pserver "die Quelle des Ã?bels" sein ... ;)

Aber wenn Du nach Joeys Konzeption gehst, die Dich auch nicht am chrooten hindert, läuft jegliche Kommunikation über ssh. Der Knackpunkt ist allerdings die lokale Verwendung des CVS durch den EIntrag "command= ... cvs server" in der authorized_keys durch den, so habe ich es verstanden, dieser unprivilegierte User einerseits CVS zur Verfügung stellt und andererseits über die bekannten Mechanismen von SSH die Authentisierung durchgeführt wird.