In Confixx für Kunden shell freigeben

Post by **astrid** » 2003-08-07 17:05

Soll ich shell für Kunden-account freigeben?
Ich bin der einzige user auf dem Server und nutze in den webXY jeweils längere cron unter dem user, zB crontab web11

Der Vorteil wäre, ich könnte mich als user web11 mit ssh einloggen und auch die cron aktivieren.
Sonst müsste ich das als root machen mit
crontab -u web11 web11
und wenn ich nicht aufpasse, dann habe ich file web11 als cronjob für root angelegt.
Ausserdem könnte ich als root auch mal herbe Tippfehler machen, als user bleibt mir das hoffentlich abgefangen.

Frage:
Entsteht für einen Alleinnutzer ein Sicherheitsrisiko (durch unbefugte Dritte), wenn einige Kundenaccounts (die mit cronjobs) eine shell bekommen?
Danke, Astrid

Post by **gamecrash** » 2003-08-07 17:21

Ich würd's mal so sagen, es ist ungefährlicher, wenn Du das mit einem normalen Benutzer (wie web11) machst als mit root... also eigentlich zu empfehlen. Nur n gutes Passwort brauchste halt...

Post by **captaincrunch** » 2003-08-07 18:40

Entsteht für einen Alleinnutzer ein Sicherheitsrisiko (durch unbefugte Dritte), wenn einige Kundenaccounts (die mit cronjobs) eine shell bekommen?

Shelaccounts sind grundsätzlich ein Risiko (ich erinnere mal an den ptrace-Bug, alternativ kann mich sich dazu mal ein paar Threads hier durchlesen).
Sofern du jemandem einen Shellzugriff gibst, solltest du ihm entweder ziemlich gut vertrauen, oder ganz genau wissen, was du (dir) damit (an)tust. Das Stichwort "chroot" dürfte dich in der Forensuche ziemlich weiterbringen, da findest du einiges, wie du das (halbwegs) sicher gestalten kannst.

Auf der anderen Seite hast du natürlich Recht, wenn es darum geht, dass man nicht als root arbeiten sollte, sofern es nicht zwingend nötig sein sollte, und sofern du dir den Shellaccount für dich selbst anlegst, spricht da sicherlich nicht gegen.

Post by **astrid** » 2003-08-08 07:48

Danke für die Tips.
Abschliessen noch eine Frage:
Wenn ich in confixx dem account einen shell Zugang geben will,
dann zwingt mich confixx auch den FTP Zugang zu geben.
Ist das nur eine interne confixx Logik oder handle ich mir mit dem FTP Dienst nicht eine weitere Schwachstelle ein?
Danke, Astrid

Post by **captaincrunch** » 2003-08-08 07:58

Jeder Dienst, den du (zusätzlich) freigibst ist per Definition (erstmal) ein Risiko. Ich würde dir ohnehin schwer ans Herz legen, solche Dinge "per Hand" zu machen, da du dadurch viel mehr Kontrolle darüber hast, was der User darf und was nicht.

Post by **acolypse** » 2004-04-14 15:15

hi,

ich stelle mir gerade eine ähnlich frage...

möchte verschiedenen confixx-kunden bei mir die shell freigeben, da sie oft daten per wget holen wollen.

leider ist die standard konfiguration allerdings so, dass sie dann auch unter den /var/www/webX ordner kommen... können zwar nicht ändern und speichern. aber doch einiges anschauen.

wie kann ich denn dem user webX den Zugriff per ssh NUR auf seinen Ordner beschränken?

Wäre auch für suchtipps dankbar, da ich nicht recht weiß mit welchen begriffen ich suchen soll...

gruß aco

Post by **oxygen** » 2004-04-14 15:19

chroot s.o. Ist aber nicht ganz trivial. Hier im Forum gibts aber ne gute Anleitung zu dem Thema.

Post by **acolypse** » 2004-04-14 15:34

danach hab ich schon gesucht. aber das scheint mir ein ziehmlich weitreichender begriff zu sein...

Post by **sascha** » 2004-04-14 15:46

Ich würde mir mal ein Update auf Confixx 3.0 überlegen. Das legt immerhin schonmal für scp/sftp eine Chroot Umgebung an. Das kann man sicher auch soweit aufbohren dass auch SSH (mit dem openssh chroot patch) geht. Allerdings stellt sich mir die Frage was das ganze eigentlich bringt denn (z.B.) über cgi können die Kunden ja noch immer im System stöbern.

Post by **acolypse** » 2004-04-14 16:30

habe confixx 3 pro!
dann muss das per cgi eben auch noch eingeschränkt werden!

gibt es denn kein howto oder so? will ja hier nicht mit tausend fragen nerven!

Post by **chris76** » 2004-04-14 16:32

acolypse wrote:gibt es denn kein howto oder so? will ja hier nicht mit tausend fragen nerven!

Wie wäre es mit eigeninitiative?

Gruß Christian

Post by **acolypse** » 2004-04-14 16:41

chris76 wrote: Wie wäre es mit eigeninitiative?

:-) Danke! Das schreibe ich auch immer wenn ich Flash Fragen beantworte...

werde mich dann mal auf den steinigen weg machen. Der nicht leicht ist wenn man grad mal so die Grundbegriffe zuordnen kann! :-/

Post by **chris76** » 2004-04-14 16:45

acolypse wrote:Der nicht leicht ist wenn man grad mal so die Grundbegriffe zuordnen kann! :-/

Für das was du vorhast solltest du aber mehr als die Grundbegriffe beherrschen

Gruß Christian

Post by **compositiv** » 2004-04-14 17:14

Stand halt schon mehr als einmal hier im Forum. Nichtsdestotrotz:

Je nach Anwendungszweck:
http://www.tjw.org/chroot-login-HOWTO/ oder
http://www.sublimation.org/scponly/

Bisschen einfacher kann man sich das mit chrootuid von Wietse Venema machen, wobei die Hauptarbeit IMHO eher im Libs usw. zusammensuchen besteht.

Post by **acolypse** » 2004-04-14 18:20

chris76 wrote: Für das was du vorhast solltest du aber mehr als die Grundbegriffe beherrschen

okay... :-(
dann hol ich mir jetzt ein buch! :-)

RootForum Community

In Confixx für Kunden shell freigeben

In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben

Re: In Confixx für Kunden shell freigeben