[linux-l] Webspace und SFTP - Die Herausforderung

Peter Ross Peter.Ross at alumni.tu-berlin.de
Fr Sep 28 00:39:34 CEST 2007 

Hi Thomas,

entschuldige das Topposting.. ich weiss nicht so recht, wo antworten. Das 
Ganze riecht nach einer Anwendung fuer FreeBSD jails bzw. das 
Linux-Äquivalent vserver (Volker hat dazu auf dieser Liste 
Webseiten, wenn ich mich recht entsinne, angegeben, eine Art HowTo).

Kurz, jeder Nutzer bekommt einen eigenen Dateibaum mit eigenem Apachen und 
eigenem sshd, eine Art "haerteres" chroot.

Fuer FreeBSD gibt es im Netz Anleitungen, wue man Teilbaeume read-only in 
das jail hineinmountet (so dass nicht wirklich fuenfzig /usr nötig sind).

Vor verschiedenen Nutzern, die sich einen Apache mit PHP teilen, graut mir 
ein bißchen.

Gruß
Peter


On Thu, 27 Sep 2007, Thomas Schmidt wrote:

> Hallo Liste!
> 
> Es geht um einen Webserver, auf den auch Freunde mal Webseiten hochladen 
> können.
> 
> PHP-Scripte erstellen ihre Dateien immer mit dem Besitzer, unter dem der 
> PHP-Server gestartet wurde. Und solange nicht der Apache als Root läuft 
> und jeden PHP-Interpreter als externes Programm mit Userrechten aufruft, 
> ist dieser Besitzer immer www-data.
> 
> Ohne Klimmzüge mit PHP als CGI und Apache mit Suexec gehört also jede 
> von PHP erstellte Datei www-data.
> 
> Jetzt komme ich zum Anliegen. Einem FTP-Server würde ich sagen, dass 
> sich alle User als www-data mit ihrem Webspace als Rootverzeichnis 
> einloggen. Nur leider wurde ein analoges Programm für SFTP wohl noch 
> nicht erfunden. Scponly und rssh brauchen erstmal einen sinnlosen 
> Dateibaum im chroot-Verzeichnis. Den könnte scponly dynamisch anbieten, 
> aber das tut es nicht.
> 
> Zusammenfassung: Die Webseiten gehören alle dem selben Benutzer, weil 
> Apache üblicherweise so läuft, deshalb kann man den Webspacekunden nicht 
> einfach SSH-Logins geben.
> Es gibt auch keinen vernünftigen SFTP-Server, der einfach nach Angabe 
> des Wunsch-Rootverzeichnisses funktioniert.
> 
> Jetzt habe ich gerade noch eine Idee: Und zwar wird der Webspace jedes 
> Kunden in sein Home abgebildet, und zwar dort mit seinem persönlichen 
> User und seiner Gruppe. Der Kunde bekommt dann einen vollen SSH-Zugang 
> und kann den gesamten wahren Webspacebereich nicht betreten. Kann man so 
> etwas mit mount anstellen? Also mount /var/www/kunde1/ /home/kunde1/www/ 
> www-user:www-user->kunde1:kunden
> 
> Eigentlich müsste der Apache standardmäßig Scripte als der Benutzer 
> ausführen, denen das Script gehört, und openssh müsste chroot auf 
> Knopfdruck beherrschen. Da das aber nicht der Fall ist, was haltet ihr 
> von meiner Idee und wie kann man das am Geschicktesten umsetzen?
> 
> Viele Grüße von
> Thomas
> 
> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> Die Mailingliste der BeLUG (Berliner Linux User Group)
> 
> Wenn du diese Mailingliste  abbestellen willst, gehe bitte auf
> https://mlists.in-berlin.de/mailman/listinfo/linux-l-mlists.in-berlin.de
> und trage dich dort bitte aus
> 
>

Mehr Informationen über die Mailingliste linux-l