SCPonly website management
Posted: 2004-11-05 09:07
Moin,
ich hab einen apache laufen, der mehrere domains hostet.
die verzeichnisse der Vhosts liegen unterhalb von var/www
also "var/www/irgedneinedomain1" usw...
jetzt möchte ich den website admins die möglichkeit geben ihre seiten
upzudaten, etc. allerdings nicht via ftp sondern ssh.
die user sollen jeweils nur ihre seite/domain sehen können und auch
nicht aus dem verzeichnis raus können.
scponly hab ich installiert. hab auch schon mal das setup_chroot.sh
script, das da mitkommt ausprobiert.
das script verlangt nach nem homedir in dem es dann einen ordner
erstellt, in den der scponly user dann schreiben kann.
also dachte ich mir:
homedir is /var/www und das writeable dir ist
domainnameXYZ
Aber da liegen dann die binaries für die scponly shell mitten in meinem
apache-doc root rum.(var/www)
das is doch unsicher, oder?
geht das nicht anders, besser, schöner, sicherer?
oder wo is mein fehler?
-was ist sicherer? sftp(ssh + scponly) oder maybe doch ein "normaler"
ftp server, der dafür keine "echten" user accounts braucht?
passwort-sniffbarkeit versus exploit via shell/"fake binaries" ?
oder habt ihr gar einen anderen Vorschlag für mich ?
danke für eure hilfe!
gruß Dennis
ich hab einen apache laufen, der mehrere domains hostet.
die verzeichnisse der Vhosts liegen unterhalb von var/www
also "var/www/irgedneinedomain1" usw...
jetzt möchte ich den website admins die möglichkeit geben ihre seiten
upzudaten, etc. allerdings nicht via ftp sondern ssh.
die user sollen jeweils nur ihre seite/domain sehen können und auch
nicht aus dem verzeichnis raus können.
scponly hab ich installiert. hab auch schon mal das setup_chroot.sh
script, das da mitkommt ausprobiert.
das script verlangt nach nem homedir in dem es dann einen ordner
erstellt, in den der scponly user dann schreiben kann.
also dachte ich mir:
homedir is /var/www und das writeable dir ist
domainnameXYZ
Aber da liegen dann die binaries für die scponly shell mitten in meinem
apache-doc root rum.(var/www)
das is doch unsicher, oder?
geht das nicht anders, besser, schöner, sicherer?
oder wo is mein fehler?
-was ist sicherer? sftp(ssh + scponly) oder maybe doch ein "normaler"
ftp server, der dafür keine "echten" user accounts braucht?
passwort-sniffbarkeit versus exploit via shell/"fake binaries" ?
oder habt ihr gar einen anderen Vorschlag für mich ?
danke für eure hilfe!
gruß Dennis