SSH user ohne Rechte

[daxel3]

Hi,

folgendes ist die Situation. Ich will auf dem rootserver ein CVS repository anlegen. Fuer die kuenftigen Nutzer habe ich eine Gruppe "cvsdev" eingerichtet und die Rechte des repositories so gesetzt, dass nur mitglieder dieser Gruppe drauf zugreifen koennen. Mein Problem ist nun folgendes. Damit CVS sinnvoll genutzt werden kann, muss jeder developer sich mit SSH einloggen koennen. Damit hat er ja aber automatisch gewisse Rechte, die ich ihm garnicht zugestehen moechte.

Im Grunde moechte ich, dass die developer Zugriff auf das Repository haben, aber - wenn sie sich jetzt mit ssh einloggen - keine programme starten koennen wie bots o.ae.. sie sollen auch keine netzwerkverbindungen aufbauen koennen (z.b. per ssh woanders hin, oder auch einfach nur pingen).. Sie sollen nur das Repository nutzen koennen.. geht das irgendwie?

Gruss
daxel3

[duergner]

Im aktuellen Linuxmagazin scheint da ein recht interessanter Artikel dazu drinnen zu sein. Bin nur leider noch nicht dazu gekommen das zu lesen. Aber grundsätzlich geht sowas in dem man die entsprechenden User in ein chroot Jail schickt in dem dann nur die benötigten Sachen drinnen sind.

Hat aber den Nachteil, dass man dabei um sicherzugehen den SSHd selbst patchen muss und man sich dann in Zukunft auch immer selbst um die entsprechenden Sicherheitsupdates desselben kümmern muss.

[Joe User]

http://www.google.com/search?hl=en&ie=U ... gle+Search

PS: http://www.rootforum.org/terms.html Bitte künftig beachten, danke.

[daxel3]

okay.. chroot hatte ich auch schon drueber gelesen. Da mach' ich aber SEHR ungern Experimente, weils ein Produktivserver ist.. mhh.. mal schauen im Linux Magazin..
Welcher Artikel waere es da genau?
http://www.linux-magazin.de/Artikel/ausgabe/2004/06

[duergner]

Das ist die Ausgabe davor. Ich meinte die ganz aktuelle. Die hatte ich zumindest gestern im Briefkasten ;)

Soetwas sollte NIE auf einem Produktivserver testen. Nur einen Produktivserver zu haben und keine Kiste zum Testen neuer Sachen halte ich für auf jeden Fall sehr fragwürdig.

[daxel3]

So meinte ich das auch nicht. Nur wenn ich es woanders teste kann es auf dem Produktivserver trotzdem noch schief gehen.
Die Aushabe welchen Monats soll es sein? Auf der Seite ist die aktuellste anscheinend die Juni Ausgabe..

[tyberius prime]

also ich bin vor neun monaten auf subversion umgestiegen
Das braucht dann zwar nen apache2 im hintergrund,
aber eben
- kein SSH,
skeine Tunnels (falls man keine echte Shell geben moechte, aber PServer nicht nach aussen offen haben moechte),
-kein Putty fuer die Entwickler,

und kann auch noch mehr als Sbuversion (umbenennen und history behalten.)

[daxel3]

mhh.. aber subversion ist ja nicht cvs kompatibel, oder? Das Ding ist, dass die Developer ihre IDEs mit integrierter CVS Unterstuetzung haben..
Ich arbeite mich wohl mal in chroot rein falls ich nichts besseres finde..

[duergner]

mhh.. aber subversion ist ja nicht cvs kompatibel, oder? Das Ding ist, dass die Developer ihre IDEs mit integrierter CVS Unterstuetzung haben..

Welche IDE haben die denn? Für Eclipse gib es z.B. schon ein SVN Plugin.

[daxel3]

Welche IDE haben die denn? Für Eclipse gib es z.B. schon ein SVN Plugin.

Danke fuer die info! Ein Plugin fuer Eclipse ist ja schon mal sehr cool. Die meisten, die ich kenne nutzen Eclipse, IDEA oder gar keine IDE und cvs per Kommandozeile. Dann werde ich subversion wohl mal testen.
OT: Die Sourceforge Leute experimentieren anscheinend auch schon ne weile damit rum..