SCPonly website management

[sledgehammer]

Moin,

ich hab einen apache laufen, der mehrere domains hostet.
die verzeichnisse der Vhosts liegen unterhalb von var/www
also "var/www/irgedneinedomain1" usw...

jetzt möchte ich den website admins die möglichkeit geben ihre seiten
upzudaten, etc. allerdings nicht via ftp sondern ssh.
die user sollen jeweils nur ihre seite/domain sehen können und auch
nicht aus dem verzeichnis raus können.

scponly hab ich installiert. hab auch schon mal das setup_chroot.sh
script, das da mitkommt ausprobiert.
das script verlangt nach nem homedir in dem es dann einen ordner
erstellt, in den der scponly user dann schreiben kann.

also dachte ich mir:
homedir is /var/www und das writeable dir ist
domainnameXYZ
Aber da liegen dann die binaries für die scponly shell mitten in meinem
apache-doc root rum.(var/www)
das is doch unsicher, oder?
geht das nicht anders, besser, schöner, sicherer?
oder wo is mein fehler?

-was ist sicherer? sftp(ssh + scponly) oder maybe doch ein "normaler"
ftp server, der dafür keine "echten" user accounts braucht?
passwort-sniffbarkeit versus exploit via shell/"fake binaries" ?


oder habt ihr gar einen anderen Vorschlag für mich ?

danke für eure hilfe!
gruß Dennis

[loko]

Würde mich auch mal interessieren.
Hätte da vieleicht einer ein Antwort auf die obrige Frage?

Gruß
Loko

[einsiedler]

Ich praktiziere das mit scponly. Gib als Verzeichnis das jeweilige Doc-Root des vhosts an (z.b. /srv/www/htdocs/userdomain/. Das script legt dann dort die /bin verzeichnisse an für chroot. Und zwar für jeden vhost sein eigenes Verzeichniss! Ein Shelleintrag in die /etc/passwd scponlyc und das wars...