[linux-l] Webspace und SFTP - Die Herausforderung
Peter Ross
Peter.Ross at alumni.tu-berlin.de
Fr Sep 28 00:39:34 CEST 2007
Hi Thomas,
entschuldige das Topposting.. ich weiss nicht so recht, wo antworten. Das
Ganze riecht nach einer Anwendung fuer FreeBSD jails bzw. das
Linux-Äquivalent vserver (Volker hat dazu auf dieser Liste
Webseiten, wenn ich mich recht entsinne, angegeben, eine Art HowTo).
Kurz, jeder Nutzer bekommt einen eigenen Dateibaum mit eigenem Apachen und
eigenem sshd, eine Art "haerteres" chroot.
Fuer FreeBSD gibt es im Netz Anleitungen, wue man Teilbaeume read-only in
das jail hineinmountet (so dass nicht wirklich fuenfzig /usr nötig sind).
Vor verschiedenen Nutzern, die sich einen Apache mit PHP teilen, graut mir
ein bißchen.
Gruß
Peter
On Thu, 27 Sep 2007, Thomas Schmidt wrote:
> Hallo Liste!
>
> Es geht um einen Webserver, auf den auch Freunde mal Webseiten hochladen
> können.
>
> PHP-Scripte erstellen ihre Dateien immer mit dem Besitzer, unter dem der
> PHP-Server gestartet wurde. Und solange nicht der Apache als Root läuft
> und jeden PHP-Interpreter als externes Programm mit Userrechten aufruft,
> ist dieser Besitzer immer www-data.
>
> Ohne Klimmzüge mit PHP als CGI und Apache mit Suexec gehört also jede
> von PHP erstellte Datei www-data.
>
> Jetzt komme ich zum Anliegen. Einem FTP-Server würde ich sagen, dass
> sich alle User als www-data mit ihrem Webspace als Rootverzeichnis
> einloggen. Nur leider wurde ein analoges Programm für SFTP wohl noch
> nicht erfunden. Scponly und rssh brauchen erstmal einen sinnlosen
> Dateibaum im chroot-Verzeichnis. Den könnte scponly dynamisch anbieten,
> aber das tut es nicht.
>
> Zusammenfassung: Die Webseiten gehören alle dem selben Benutzer, weil
> Apache üblicherweise so läuft, deshalb kann man den Webspacekunden nicht
> einfach SSH-Logins geben.
> Es gibt auch keinen vernünftigen SFTP-Server, der einfach nach Angabe
> des Wunsch-Rootverzeichnisses funktioniert.
>
> Jetzt habe ich gerade noch eine Idee: Und zwar wird der Webspace jedes
> Kunden in sein Home abgebildet, und zwar dort mit seinem persönlichen
> User und seiner Gruppe. Der Kunde bekommt dann einen vollen SSH-Zugang
> und kann den gesamten wahren Webspacebereich nicht betreten. Kann man so
> etwas mit mount anstellen? Also mount /var/www/kunde1/ /home/kunde1/www/
> www-user:www-user->kunde1:kunden
>
> Eigentlich müsste der Apache standardmäßig Scripte als der Benutzer
> ausführen, denen das Script gehört, und openssh müsste chroot auf
> Knopfdruck beherrschen. Da das aber nicht der Fall ist, was haltet ihr
> von meiner Idee und wie kann man das am Geschicktesten umsetzen?
>
> Viele Grüße von
> Thomas
>
> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> Die Mailingliste der BeLUG (Berliner Linux User Group)
>
> Wenn du diese Mailingliste abbestellen willst, gehe bitte auf
> https://mlists.in-berlin.de/mailman/listinfo/linux-l-mlists.in-berlin.de
> und trage dich dort bitte aus
>
>
Mehr Informationen über die Mailingliste linux-l