Page 2 of 2
Re: Installation KeyHelp und Sicherheit
Posted: Fri 26. Jul 2024, 18:17
by 24unix
blickgerecht wrote: ↑Fri 26. Jul 2024, 18:05
An der Stelle bin ich aber unsicher, ob das überhaupt ein adäquater Weg war, das zu testen und ob Chroot überhaupt funktionieren kann, da PHP-FPM ja vielleicht ohnehin ganz anders ausgeführt wird
Versuch Dir z.B. die /etc/hosts oder /etc/passwd ausgeben zu lassen.
Ich wollte es eben testen, aber ich kann mich mit chroot nicht einloggen, weil mein User Besitzer seines Home ist, das passt nicht zum KeyHelp default, mir fehlt aber auch die Muße, nur zum testen die Berechtigungen zu ändern oder einen extra User anzulegen.
Code: Select all
Jul 26 18:13:17 anakin.24unix.net sshd[3482246]: fatal: bad ownership or modes for chroot directory "/home/users/tracer"
Aber interessieren würde es mich trotzdem
Re: Installation KeyHelp und Sicherheit
Posted: Fri 26. Jul 2024, 20:57
by blickgerecht
24unix wrote: ↑Fri 26. Jul 2024, 18:17
Versuch Dir z.B. die /etc/hosts oder /etc/passwd ausgeben zu lassen.
Via SSH konnte ich mir bspw. die /etc/passwd ausgeben lassen.
Mit Chroot war es allerdings nicht die gesamte Datei, sondern eine mit weniger Benutzern, vermutlich eine eingeschränkte Version aus meinem Jail?
Ohne aktiviertes Chroot konnte mich mir hier die systemweite /etc/passwd anzeigen lassen, in der ich alle Benutzer sehe.
Via PHP (exec) habe ich egal mit welcher Einstellung immer die gesamte /etc/passwd angezeigt bekommen. D.h. die Einstellung bzgl. Chroot hat auf PHP(-FPM) offenbar keine Auswirkung.
Wird PHP-FPM nicht auch ohnehin jeweils als der jeweilige Benutzer ausgeführt, aber halt eben nicht im Jail, weil das nur SSH betrifft? Da schwimme ich gedanklich eher
exec oder auch
passthru sind natürlich standardmäßig in der Liste
disable_functions enthalten. Für den Test hatte ich es dort rausgenommen.
Ändern konnte ich natürlich nichts in der Datei, dazu habe ich ja keine Rechte, also als normaler Benutzer.
Re: Installation KeyHelp und Sicherheit
Posted: Sat 27. Jul 2024, 10:38
by 24unix
blickgerecht wrote: ↑Fri 26. Jul 2024, 20:57
24unix wrote: ↑Fri 26. Jul 2024, 18:17
Versuch Dir z.B. die /etc/hosts oder /etc/passwd ausgeben zu lassen.
Via SSH konnte ich mir bspw. die /etc/passwd ausgeben lassen.
Mit Chroot war es allerdings nicht die gesamte Datei, sondern eine mit weniger Benutzern, vermutlich eine eingeschränkte Version aus meinem Jail?
Yap, eine chroot-Umgebung baut quasi ein System nach.
Also das chroot funktioniert
blickgerecht wrote: ↑Fri 26. Jul 2024, 20:57
Ohne aktiviertes Chroot konnte mich mir hier die systemweite /etc/passwd anzeigen lassen, in der ich alle Benutzer sehe.
Via PHP (exec) habe ich egal mit welcher Einstellung immer die gesamte /etc/passwd angezeigt bekommen. D.h. die Einstellung bzgl. Chroot hat auf PHP(-FPM) offenbar keine Auswirkung.
Wird PHP-FPM nicht auch ohnehin jeweils als der jeweilige Benutzer ausgeführt, aber halt eben nicht im Jail, weil das nur SSH betrifft? Da schwimme ich gedanklich eher
exec oder auch
passthru sind natürlich standardmäßig in der Liste
disable_functions enthalten. Für den Test hatte ich es dort rausgenommen.
Ändern konnte ich natürlich nichts in der Datei, dazu habe ich ja keine Rechte, also als normaler Benutzer.
Ich bin bis jetzt auch davon ausgegangen, dass das chroot nur für Shell-Sessions gültig ist.
Aber bedingt durch diesen Thread denke ich drüber nach, ob das evtl. auch für den PHP-FPM Prozess sinnvoll wäre?
Re: Installation KeyHelp und Sicherheit
Posted: Sat 27. Jul 2024, 14:23
by mmaark
blickgerecht wrote: ↑Fri 26. Jul 2024, 16:02
Ich teile all eure Meinungen bzgl. solidem Grundwissen und Tarifen bei Keyweb inkl. Service – das ist sicher ein guter Anfang. Zur Pro-Version würde ich auch immer raten, alleine schon um die Entwicklung zu unterstützen (ist ja bei Keyweb sogar inklusive!).
Aber eine Nachfrage bzgl. SSH-Chroot:
Den Vorteil habe ich nur, wenn ich für die Benutzer SSH überhaupt erst aktiviere, oder? Ohne im Benutzer aktiviertes SSH habe ich davon auch keine Vorteile, oder doch? So verstehe ich zumindest die Beschreibung in der Einstellung …
Bildschirmfoto 2024-07-26 um 15.56.40.jpg
Wo steht das bei KeyHelp? Vom Screenshot
Ich habe gerade Demo von KeyHelp angeschaut, finde es nicht.
Re: Installation KeyHelp und Sicherheit
Posted: Sat 27. Jul 2024, 14:34
by 24unix
mmaark wrote: ↑Sat 27. Jul 2024, 14:23
Ich habe gerade Demo von KeyHelp angeschaut, finde es nicht.
Unter Edit client: