Rechte Verzeichnisstruktur für Kunden SSH Zugänge ohne Jailkit

multanifx

New Member
Moin,

beim Arbeiten mit ISPConfig scheint es so zu sein, dass die home Verzeichnisse der einzelnen Webs leider root gehören und ein 755 haben, damit die Nutzer in die Verzeichnisse kommen.

Das führt dazu, dass die Rechtestruktur es ermöglicht, (Wenn kein Jailkit aktiviert) das die Nutzer eines anderen Kunden eines anderen Webs sich nicht nur durch die Domains klicken können, sondern sogar die Nutzernamen der SSH Nutzer für die weiteren Systeme sieht.

Ist da bei uns nur was falsch eingestellt, oder muss das so sein?
Die Web Verzeichnisse sind ja auch geschützt, so das diese immerhin nicht einsehbar sind.

Das Problem ist, dass die Domains zwar problematisch aber nicht PErsonenbezogenen sind. Die SSH Nutzer jedoch schon, da ich ggf. aus dem Nutzernamen eine "echte" Person ableiten kann.

Ideen ob das lösbar ist? Müsste man da in ISPConfig etwas umprogrammieren oder ist das nur falsch konfiguriert?

1000 Dank für Eure Hilfe
Volker
 

Till

Administrator
Das Problem ist dass wenn die Verzeichnise dem user gehören würden, dann könnte er sie löschen, was wiederum zu Fehlfunktionen führt. Um das zu verhindern müsste man vermutlich das darunterliegende Verzeichnis home immutable setzen, so wie es beim webroot gemacht wird. Kann man sicherlich alles machen, ISPConfig sieht das aber so bisher nicht votr.
 

multanifx

New Member
Hallo Till,

danke für die schnelle Antwort. Bekommt damit ISPConfig kein Datenschutz Problem? Im Kern kann ja jeder "Kunde" der keinen Jailkit User hat, damit auf personenbezogene Daten zugreifen, den er sieht Domain und Nutzernamen.
Ich bin zu wenig auf Server Ebene unterwegs um das genau zu beurteilen, aber wäre die Idee oben dazu nicht ein schneller QuickWin?

Gruß Volker
 

Till

Administrator
Domainnamen sind keine personenbezogenen Daten und ob Usernamen personenbezogen sind ist eine gute Frage da sie keine natürlichen namen sind auch auch beliebig änderbar und ja auch z.B. in Foren jedem angezeigt werden. Das spielt hier aber an sich keine Rolle denn kein Hoster lässt SSH user ohne Jail auf einen Server. Wenn Du also Kunden hast, dann müssen eh alle SSH user jails haben, SSH user ohne jail machen nur Sinn bei root Servern ohne Kunden und privaten Servern.

Und das Ändern der Verzeichnisrechte brächte Dich da eh nicht weiter, denn wie Du vermutlich weißt ist /etc/passwd grundsätzlich für jeden Shell user ohne jail lesbar und da stehen alle User drin.
 

multanifx

New Member
Hallo Till,

alles klar und danke. Daran habe ich natürlich nicht gedacht. Mein Problem mit JailKit ist, das ich darüber nicht wirklich persönliche Logins habe, da ja alles auf den einen Jailkit user gemappt wird, aber dann muss ich die Pille wohl schlucken.

Gruß Volker
 

Till

Administrator
Das stimmt doch überhaupt nicht. Bei jailkit hast Du genauso User und die selben usernamen wie ohne Jailkit. Der einzige Unterschied liegt darin dass sie in Ihrem jail eingeschlosen sind und eben nicht den Rest des Servers sehen und auch nur die Programme nutzen können, die in Ihrem jail installiert sind.
 

Werbung

Top