Die chroot-Umgebung von KeyHelp  [GELÖST]

Locked
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Die chroot-Umgebung von KeyHelp

Post by Tobi »

Hallo Zusammen,

ich habe jetzt zum ersten Mal die chroot Umgebung für KeyHelp aktiviert.
Grundsätzlich funktioniert es, die Probleme stecken aber im Detail.

Zum Beispiel sind die Binaries mysql und mysqldump nicht standardmäßig in der chroot-Umgebung verfügbar.

Per Ticket habe ich dann erfahren wie man diese Binaries manuell bereitstellen kann.
Man muss jedem Kunden die Binaries und die abhängigen Bibliotheken in das jeweilige Userverzeichnis kopieren.
Bei einem oder zwei Kunden mag das noch gehen, bei mehr wird es unübersichtlich, fehleranfällig und dauert ewig.
Da jedes Binary andere Abhängigkeiten hat könnte man zwar irgendwie ein Shell-Skript schreiben, trotzdem muss man zuerst immer alle Abhängigkeiten manuell ermitteln.
Ich will ehrlich gar nicht wissen was man machten muss falls es dann ein Update des Binarys geben sollte. Geht dann wieder alles von vorne los?

Trotz Ticketsupport war es mir bisher nicht möglich das bereits erwähnte "mysql" zum Laufen zu bekommen.
Fehlermeldung: "Can´t connect to server through socket".
Antwort der Technik: "Explizite Angabe des Hosts sollte helfen".
Ergebnis: Tut es aber nicht.

Meine Bitte:
1. Wäre es möglich die Standard-Binaries zu erweitern?
2. Gibt es jemand der zusätzliche Binaries (insbesondere mysql) zum Laufen bekommen hat und mir helfen kann?
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Die chroot-Umgebung von KeyHelp

Post by Alexander »

Ein Hinzufügen von mysql bzw. mysqldump würde leider sicherheitsrelevante Probleme verursachen.

Der Grund ist folgender:

Ein Client könnte per Brute-Force sämtliche Passwörter für einen Account durchprüfen und sich so früher oder später Zugriff zur Datenbank und schlussendlich zum Server zu verschaffen. Er wird über ein ggf. selbst erstelltes CLI-Script das alle Passwörter durchprüft in keinster Weise daran gehindert / verlangsamt etc.

Ein Hinzufügen von mysql / mysqldump widerspricht somit leider dem Gedanken hinter der Chroot-Umgebung: Clients sollen keinen Schindluder in der CLI treiben können.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Die chroot-Umgebung von KeyHelp

Post by Florian »

Hallo,
warum schreiben Sie nicht ins Ticket, wenn der Vorschlag nicht funktioniert. Zugangsdaten wären auch nicht schlecht, dann schaue ich es mir an.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
n293
Posts: 13
Joined: Tue 9. Jun 2020, 17:54

Re: Die chroot-Umgebung von KeyHelp

Post by n293 »

Alexander wrote: Tue 22. Dec 2020, 09:36 Der Grund ist folgender:

Ein Client könnte per Brute-Force sämtliche Passwörter für einen Account durchprüfen und sich so früher oder später Zugriff zur Datenbank und schlussendlich zum Server zu verschaffen. Er wird über ein ggf. selbst erstelltes CLI-Script das alle Passwörter durchprüft in keinster Weise daran gehindert / verlangsamt etc.

Ein Hinzufügen von mysql / mysqldump widerspricht somit leider dem Gedanken hinter der Chroot-Umgebung: Clients sollen keinen Schindluder in der CLI treiben können.
Könnte ein Kunde das nicht auch durch ein selbst erstelltes PHP-Skript ausprobieren, da der von dort aus ja auch Zugriff auf MySQL hat ?
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Die chroot-Umgebung von KeyHelp

Post by Tobi »

Hallo Herr Cheno,

ich hatte mir hier eine alternative Lösung versprochen.
Zugangsdaten kann ich Ihnen leider nicht geben, da es sich um einen Kundenzugang handelt und ich selbst kein Passwort habe.
Leider funktioniert es auch nicht wenn man sich als root die Userrechte verpasst. Da greift die chroot Umgebung nicht. Sonst hätte ich es selbst testen können.

Natürlich kann ich das mit einem zweiten Useraccount nachstellen. Ich war jedoch der Meinung, dass KeyWeb selbst über entsprechende Testaccounts verfügt.

Aber anscheinend war ich der erste mit diesem Problem.
Deswegen hatte ich mir eine alternative Meinung aus dem Forum erhofft.

Ich werde das jetzt mit einem separaten Account nachstellen und Ihnen dann im Ticket die Zugangsdaten nennen.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Die chroot-Umgebung von KeyHelp

Post by Tobi »

n293 wrote: Tue 22. Dec 2020, 11:13
Könnte ein Kunde das nicht auch durch ein selbst erstelltes PHP-Skript ausprobieren, da der von dort aus ja auch Zugriff auf MySQL hat ?
Genau das war auch mein Gedanke.
Wo ist denn da der Unterschied?
CLI Skripte sind in der chroot Umgebung doch uneingeschränkt möglich?
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Die chroot-Umgebung von KeyHelp

Post by Florian »

Hallo,

wie dem auch sei. Die Chroot Umgebung soll ja nicht das gesamte System abbilden, da könnten wir gleich alles da reinkopieren. Auch bei Plesk gibt es keine Mysql-Kommandos standardmäßig in der Chroot Umgebung. Im entsprechenden Artikel wird auch davor gewarnt:

https://support.plesk.com/hc/en-us/arti ... for-users-
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
andromeda
Posts: 83
Joined: Wed 25. Nov 2020, 13:49

Re: Die chroot-Umgebung von KeyHelp

Post by andromeda »

Tobi wrote: Mon 21. Dec 2020, 20:34 Man muss jedem Kunden die Binaries und die abhängigen Bibliotheken in das jeweilige Userverzeichnis kopieren.
Bei einem oder zwei Kunden mag das noch gehen, bei mehr wird es unübersichtlich, fehleranfällig und dauert ewig.
Da jedes Binary andere Abhängigkeiten hat könnte man zwar irgendwie ein Shell-Skript schreiben, trotzdem muss man zuerst immer alle Abhängigkeiten manuell ermitteln.
Wenn der Kunde richtig mit SSH arbeiten will (und sich auch auskennt...), dann wäre doch eher ein (managed) Server die Lösung?

So etwas würde ich nie zur chroot-Umgebung hinzufügen da es nur Probleme macht und auch sicherheitstechnisch nicht trivial ist weil auch ein solcher Setup eher etwas ausgefallen ist :-D

Es gibt da draußen so ein paar Nieschenhoster welche Webhosting mit einer sehr erweiterten SSH Umgebung anbieten, die haben sich aber darauf spezialisiert, machen nur das und sichern das sauber ab. Würde mir selbst die Arbeit nicht antun.
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Die chroot-Umgebung von KeyHelp  [GELÖST]

Post by Tobi »

Managed haben wir ;)
Der Kunde wollte eigentlich die chroot Umgebung lediglich als "Selbstschutz".

Generell finde ich schon, dass "mysql" und "mysqldump" zum Standardwerkzeug von Webmastern gehören.
Dass das jetzt solche Sicherheitsprobleme verursachen kann hätte ich nicht gedacht.

Nachdem ich mir die PLESK Anleitung durchgelesen habe, insbesondere mit dem Augenmerk auf den Abschnitt "socket", bin ich zu dem Schluss gekommen, dass es nichts bringt dieses Gefrickel innerhalb der chroot Umgebung umzusetzen. Also verzichte ich eben auf chroot.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Locked