Installation KeyHelp und Sicherheit

[24unix]

An der Stelle bin ich aber unsicher, ob das überhaupt ein adäquater Weg war, das zu testen und ob Chroot überhaupt funktionieren kann, da PHP-FPM ja vielleicht ohnehin ganz anders ausgeführt wird

Versuch Dir z.B. die /etc/hosts oder /etc/passwd ausgeben zu lassen.

Ich wollte es eben testen, aber ich kann mich mit chroot nicht einloggen, weil mein User Besitzer seines Home ist, das passt nicht zum KeyHelp default, mir fehlt aber auch die Muße, nur zum testen die Berechtigungen zu ändern oder einen extra User anzulegen.

Code: Select all

Jul 26 18:13:17 anakin.24unix.net sshd[3482246]: fatal: bad ownership or modes for chroot directory "/home/users/tracer"

Aber interessieren würde es mich trotzdem

[blickgerecht]

Versuch Dir z.B. die /etc/hosts oder /etc/passwd ausgeben zu lassen.

Via SSH konnte ich mir bspw. die /etc/passwd ausgeben lassen.
Mit Chroot war es allerdings nicht die gesamte Datei, sondern eine mit weniger Benutzern, vermutlich eine eingeschränkte Version aus meinem Jail?
Ohne aktiviertes Chroot konnte mich mir hier die systemweite /etc/passwd anzeigen lassen, in der ich alle Benutzer sehe.

Via PHP (exec) habe ich egal mit welcher Einstellung immer die gesamte /etc/passwd angezeigt bekommen. D.h. die Einstellung bzgl. Chroot hat auf PHP(-FPM) offenbar keine Auswirkung.
Wird PHP-FPM nicht auch ohnehin jeweils als der jeweilige Benutzer ausgeführt, aber halt eben nicht im Jail, weil das nur SSH betrifft? Da schwimme ich gedanklich eher
exec oder auch passthru sind natürlich standardmäßig in der Liste disable_functions enthalten. Für den Test hatte ich es dort rausgenommen.

Ändern konnte ich natürlich nichts in der Datei, dazu habe ich ja keine Rechte, also als normaler Benutzer.

[24unix]

Versuch Dir z.B. die /etc/hosts oder /etc/passwd ausgeben zu lassen.

Via SSH konnte ich mir bspw. die /etc/passwd ausgeben lassen.
Mit Chroot war es allerdings nicht die gesamte Datei, sondern eine mit weniger Benutzern, vermutlich eine eingeschränkte Version aus meinem Jail?

Yap, eine chroot-Umgebung baut quasi ein System nach.
Also das chroot funktioniert

Ohne aktiviertes Chroot konnte mich mir hier die systemweite /etc/passwd anzeigen lassen, in der ich alle Benutzer sehe.

Via PHP (exec) habe ich egal mit welcher Einstellung immer die gesamte /etc/passwd angezeigt bekommen. D.h. die Einstellung bzgl. Chroot hat auf PHP(-FPM) offenbar keine Auswirkung.
Wird PHP-FPM nicht auch ohnehin jeweils als der jeweilige Benutzer ausgeführt, aber halt eben nicht im Jail, weil das nur SSH betrifft? Da schwimme ich gedanklich eher
exec oder auch passthru sind natürlich standardmäßig in der Liste disable_functions enthalten. Für den Test hatte ich es dort rausgenommen.

Ändern konnte ich natürlich nichts in der Datei, dazu habe ich ja keine Rechte, also als normaler Benutzer.

Ich bin bis jetzt auch davon ausgegangen, dass das chroot nur für Shell-Sessions gültig ist.
Aber bedingt durch diesen Thread denke ich drüber nach, ob das evtl. auch für den PHP-FPM Prozess sinnvoll wäre?

[mmaark]

Ich teile all eure Meinungen bzgl. solidem Grundwissen und Tarifen bei Keyweb inkl. Service – das ist sicher ein guter Anfang. Zur Pro-Version würde ich auch immer raten, alleine schon um die Entwicklung zu unterstützen (ist ja bei Keyweb sogar inklusive!).

Aber eine Nachfrage bzgl. SSH-Chroot:
Den Vorteil habe ich nur, wenn ich für die Benutzer SSH überhaupt erst aktiviere, oder? Ohne im Benutzer aktiviertes SSH habe ich davon auch keine Vorteile, oder doch? So verstehe ich zumindest die Beschreibung in der Einstellung …


Bildschirmfoto 2024-07-26 um 15.56.40.jpg

Wo steht das bei KeyHelp? Vom Screenshot
Ich habe gerade Demo von KeyHelp angeschaut, finde es nicht.

[24unix]

Ich habe gerade Demo von KeyHelp angeschaut, finde es nicht.

Unter Edit client: