User einsperren , alternative zu chroot

#0
10.12.2004, 17:26
...neu hier

Beiträge: 2
#1 Hallo, ich habe einen Debian Rootserver.Darauf läuft ein Counterstrikeserver.Nun möchte ich 2 weitere Counterstrikeserver aufsetzen und vermieten.Die Server werden jeweils in den Homeverzeichnissen der User untergebracht.Ich möchte eine 99,9% Sicherheit haben das Bugs dieser neuen Server dazu führen könnten das leute die ganze Root einsehen können ( auch wenn die Server nur als normaler User laufen.).Die Servermieter sollten die erforderlichen Server Libraries selber verwalten können und den server über ein Shellscript selber starten stoppen restarten können.
Es läuft also auf ein Einsperren der User hinaus.Allerdings ist die einzige mir bekannte Möglichkeit CHROOT.Diese Methode gefällt mir aber nicht.Ist mir gefühlsmässig zu unsicher ( Vielleicht gibt es eine Möglichkeitdie weitere Scriptverarbeitung direkt nach dem einloggen abzubrechen, dann hätte der User evtl. sogar rootrechte)
Hat jemand eine Idee wie man es mit anderen Mitteln hinbekommt?ZB. FTP chroot ist da ja nicht das Problem aber gibt es eine möglichkeit über ftp ein script auszuführen?
Bin dankbar für jede Anregung
Seitenanfang Seitenende
11.12.2004, 13:39
Member
Avatar Xeper

Beiträge: 5291
#2

Zitat

Ich möchte eine 99,9% Sicherheit
Reicht auch 98,2%? ;)

Zitat

Ist mir gefühlsmässig zu unsicher
Was hat dein Gefühl mit logisch aufgebauter Technologie zu tuen?
Du kannst die Benutzer direkt nach dem einloggen (SSH) in ihr /home Verzeichnis schmeißen, natürlich wäre das dann schon eine Art vserver da ja alle erforderlichen Dateien (komplettes OS) in dem /home Verzeichnis sein muss. Additional vielleicht noch grsec mit seinen chroot restriktionen.

Zitat

aber gibt es eine möglichkeit über ftp ein script auszuführen?
Nein, und wenn wäre das wohl eine fatale Sicherheitslücke.
Wofür stand FTP noch mal, ah ja file transfer protokol.

Also wie gesagt ich habe da oben ja schon was vorgeschlagen, des läßt sich mit PAM sehr schön realisieren.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 11.12.2004 um 13:41 Uhr von Xeper editiert.
Seitenanfang Seitenende
16.12.2004, 13:32
...neu hier

Beiträge: 1
#3 Hallo,

warum machst Du nicht ein SSH-jail?
Dann hat der Enduser auch seinen eigenen Platz und muss das System incl. aller von ihm genutzten Programmen selbst installieren.
Zusätzlich kannst Du natürlich dann auch noch "globale" Services anbieten (FTP, DB, ...)

Google mal ne runde, denke damit kommst Du weiter.
Ein SSH-Jail habe ich auch einmal installiert (RedHat), bis auf ein paar anfängliche Fehler meinerseits hat aber alles zur vollen Zufriedenheit funktioniert.

MFG

Michael
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: