Absicherung: SuEXEC, SSH-Chroot Empfehlung?

[fusionbuzz]

Ich möchte einige Vorlagen erstellen wobei die User keinen SSH Zugang bekommen sollen, hierbei wird nur PHP-FPM verwendet.
Sind die Kundenwebs per Default auf deren eigene Umgebung (user permissions) beschränkt oder muss SuEXEC forced bzw. SSH-Chroot dazu aktiviert werden?
Damit meine ich z.b. Malware Scripte in einer Installation dürfen sich nicht auf benachbarte User Webs auswirken ...
Auch wenn kein SSH aktiviert wird empfiehlt es sich dann trotzdem die SSH-Chroot Options zu aktivieren bzw. beides (SuEXEC + SSH-Chroot)?

 

[Till]

Jede Website läuft in ISPConfig unter einem eigenen Linux User, aber Du musst Suexec in der Seite aktiv haben dafür, denn ansonsten läuft php-fpm auf allen Seiten unter www-data. Chroot für php-fpm zu aktivieren bringt zusätzliche Sicherheit, hat aber auch Nachteile weil Du z.B. uaf MySQL per IP 127.0.0.1 zugreifen musst und nicht auf 'localhost', da localhost in PHP/mysql ein Socket ist, dieses Socket aber außerhalb des Chroot liegt. Aber solange Du sicherstellst dass z.B. config Dateien der website nur für den user der website lesbar sind, also keine gruppen oder other Leserechte haben, dann ist es auch ohne Chroot recht sicher.

 

[fusionbuzz]

Sehr gut erklärt, Danke!
Würde sich das Chroot - MySQL Problem lösen lassen wenn der Host auf localhost gesetzt wird, (eigene mysqluser.conf oder mysql_clientdb.conf) und wäre es mit den Panel Funktionen (scripts) dann noch kompatibel?

[client]
host = localhost

 

[Till]

Nein, das würde auch nicht helfen. Um das problem zu lösen müsstest Du das MySQl socket via hardlink in das chroot verlinken, aber da MySQL bei einem restart ein neues socket erzeugt, würde der hardlink dann nicht mehr gehen und müsste neu erstellt werden. Du würdest also mit einem simplen mysql neustart alle websites von der DB abschneiden bis Du die hardlinks in jedem web neu erstellt hast, also keine wirkliche Lösung. Daher nimm halt einfach 127.0.0.1 wenn Du chroot haben möchtest denn im Grunde ist es ja kein Problem, Du musst halt nur daran denken und es ist möglicherweise minimal langsamer.