Secure CVS Setup

[nn4l]

Ich hab mir CVS in einer chroot-Umgebung (mit cvsd) so eingerichtet, dass man sowohl mit pserver als auch mit ssh drauf zugreifen kann.

Problem: Beim Zugriff mit ssh wird die chroot Umgebung nicht genutzt, d.h. es gibt einen Zugriff auf /etc/passwd und es wird das cvs Binary /usr/bin/cvs benutzt, nicht das in der chroot Umgebung. Außerdem muss man die CVSROOT Variable mit /chroot/cvs/cvsroot besetzen, anstelle von /cvsroot bei der pserver Methode (das ließe sich noch mit einem symlink verschönern).

Kann man sich den ssh-Zugriff irgendwie so einstellen, dass das passwd file /chroot/cvs/etc/passwd sowie das executable /chroot/cvs/bin/cvs genutzt wird? Falls das cvs executable ein Sicherheitsloch enthielte, könnte man jetzt auf den ganzen Server zugreifen, das würde ich gerne auf die chroot Umgebung beschränken.

[captaincrunch]

Beschreib doch mal den genaueren Aufbau des ganzen. Das Debianhowto-CVS liegt auch im chroot, und das ganze ist so aufgebaut, dass sich ein solches Problem erst gar nicht stellt. ;)

[nn4l]

Ich hab die Doku zu cvsd benutzt: http://tiefighter.et.tudelft.nl/~arthur/cvsd/docs.html

Kannst Du mir den Link auf die von dir empfohlene Doku posten (hab's nicht auf http://www.debianhowto.de gefunden)?

[captaincrunch]

Ah OK, ich nutze halt kein cvsd, sondern ein "echtes" chroot für das CVS.

Einen Link zur Doku kann ich dir leider nicht geben, die ist zur Zeit noch nur in meinem Kopf. ;)

Vielleicht einmal grob umrissen:
- komplett eigenes Minimalsystem mit Hilfe von debootstrap erstellt
- dort CVS stinknormal eingerichtet
- denjenigen, die ssh-Zugang zum CVS haben Logins nach dem chroot-login-Howto angelegt
- inetd im chroot-System so konfiguriert, dass nur der pserver gestartet wird, und inetd im chroot laufen lassen

[nn4l]

Welches chroot login howto hast Du verwendet? Dieses hier?

http://www.tjw.org/chroot-login-HOWTO/

[captaincrunch]

Exakt dieses.