[linux-l] CGI-Scripte erlauben, aber SSH verbieten? (was: Webspace und SFTP - Die Herausforderung)

[Volker Grabsch]

On Thu, Sep 27, 2007 at 03:32:52PM +0200, Thorsten Stöcker wrote:
> Am Donnerstag, 27. September 2007 15:22 schrieb Ralph Angenendt:
> > Thorsten Stöcker wrote:
> > > > Es gibt auch keinen vernünftigen SFTP-Server, der einfach nach Angabe
> > > > des Wunsch-Rootverzeichnisses funktioniert.
[...]
> Aber was ausser SSH itself unterstützt SFTP?

Die interessantere Frage lautet doch: Wieso willst du SFTP
und CGI-Scripte, aber kein SSH anbieten?

Zunächst einmal: Ja, es ist möglich, einen SSH-Zugang so
einzuschränken, dass er nur noch SFTP-fähig ist, z.B.
indem man den "sftpserver" als Login-Shell einträgt.

Aber wenn $USER bei dir Scripte hochladen kann, dann
kann er ohnehin alles ausführen, die sog. "Web-Shells"
zeigen das sehr anschaulich. Da kann man ihnen auch
gleich SSH zugestehen, statt ihnen das Leben unnötig
schwer zu machen.

Vorallem: Ein SSH-Verbot *ermutigt* doch nur zu Web-
Shells, und die sind normalerweise viel unsicherer ...
einen Eintrag in der .htaccess vergessen, oder die
.htaccess ausversehen gelöscht, schon wird jedem nach
außen in eine Shell angeboten.

Unseren Hosting-Kunden bieten wir grundsätzlich auch
SSH an, und haben damit keine schlechten Erfahrungen
gemacht. Wer seinen Kunden nicht traut, sollte nicht
mit ihnen zusammenarbeiten, und sie erst gar keine
Scripte auf dem eigenen System ausführen lassen.

CGI-Scripte erlauben, aber SSH-Zugang verwehren, das
ist irgendwie schiezophrän. Das ist wie "angucken,
aber nicht merken/kopieren". Ja, das ist wie DRM.


Gruß,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR