neue Benutzer werden nicht angelegt - kein SSH Zugriff

  • Hallo,


    sorry für diesen etwas wirren Titel, aber mir ist da grad nichts besseres eingefallen.


    Für einen Kunden muss ich zwingend zeitnah einen zweiten Benutzer anlegen, der SSH-Zugriff haben soll.


    Den SSH-Zugriff habe ich im Vertrag entsprechend aktiviert.
    Leider erscheint der anschließend angelegt Benutzer nicht in der /etc/passwd Datei, ein Zugriff ist entsprechend nicht möglich.
    Für den ursprl. Benutzer webxxx ist alles korrekt hinterlegt worden.


    Ist das ein Bug, oder habe ich hier einen Denkfehler?!
    Erbitte kurfristige Hilfe, da der Kunde das schnell benötigt.


    herzliche Grüße


    Matthias Knick

  • kein bug und kein Denkfehler - ssh ist (leider) nur für den Hauptbenutzer möglich.


    Zusätzliche ssh-user wären schon hilfreich. Kunden haben z.T. mehrere externe
    Webbetreuer und die sollen nicht unbedingt mit dem Hauptaccount arbeiten.
    Klassisches ftp ist out. Da fällt mir gleich ein neuer Vorschlag ein:
    bei Aktivieren von ssh gleichzeitig ein Verzeichnis .ssh anlegen.
    ssh-login per passwort ist ja auch ...

  • Hallo,


    pro Vertrag ist leider nur ein Systembenutzer möglich. Das hängt mit der Absicherung der Zugriffsrechte zusammen: die Webspace-Verzeichnisse "gehören" dem Kunden, der Webserver hat nur Leserechte darauf (Eigentümer also z.B. web1:www-data, Mode=0750). So ist sichergestellt, dass keine fremden Accounts da hinein dürfen.
    Würde man das htdocs-Verzeichnis nun einer Kundengruppe übereignen, dann müsste als Besitzer der Webserver eingetragen werden (also www-data:web1). Das bringt aber erhebliche Sicherheitsrisiken mit sich, suPHP/suexec funktioniert nicht mehr, u.v.m.


    Es gibt verschiedene theoretische Workarounds:
    - den Webserver Mitglied jeder Kundengruppe werden lassen (Anzahl der Gruppenmitgliedschaften ist aber begrenzt, außerdem ist das wieder ein Sicherheitsproblem)
    - Verwendung von erweiterten Attributen bzw. ACLs (wird nicht mit jedem Filesystem unterstützt)


    Mir ist derzeit kein Berechtigungsschema bekannt, bei dem mehrere Benutzer einer Gruppe sicher Zugriff auf einen Webspace bekommen könnten, ohne dass andere User auch dort "hinein können", gleichzeitig aber der Webserver dort Leserechte hat.
    Die Variante mit ACLs wäre wohl noch am vernünftigsten - vielleicht ließe sich das ja optional einrichten.


    Viele Grüße


    -Klaus Keppler

  • Hallo Herr Keppler,


    pro Vertrag ist leider nur ein Systembenutzer möglich. Das hängt mit der Absicherung der Zugriffsrechte zusammen: die Webspace-Verzeichnisse "gehören" dem Kunden, der Webserver hat nur Leserechte darauf (Eigentümer also z.B. web1:www-data, Mode=0750). So ist sichergestellt, dass keine fremden Accounts da hinein dürfen.


    Vielen Dank für die super Erklärung, daran hatte ich in dem Moment garnicht gedacht!


    herzliche Grüße
    Matthias Knick

  • Zitat

    btw: die Lösung eines anderen Controlpanels wollen wir sicher nicht mehr ;)


    web124:x:673:673::/var/www/web124:/bin/false
    web124f1:x:673:673::/var/www/web124/html/cms/picture/upload:/bin/false


    hmm.
    Wieso nicht?
    Das hat einwandfrei funktioniert und verursacht m.E. sicherheitstechnisch keine großen Probleme.
    Ich würde für einen SSH Benutzer lediglich die Option eines abweichenden Homepfades deaktivieren d.h. alles SSH Benutzer dieses Vertrages würden in /var/www/web124 kommen.

  • Ein Login ist jedenfalls per SSH über web6 nicht möglich, er sagt immer "Falsches Passwort". PW für Hauptbenutzer geändert, keine Änderung.


    • im Vertrag (bzw. im Angebot) muss "SSH-Zugriff" erlaubt sein (mit der Einstellung "ja (Shell)")
    • für SSH gilt das Passwort des FTP-Hauptbenutzers (nicht das LiveConfig-Passwort)


    Viele Grüße


    -Klaus Keppler

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!