Sicherheitsproblem: SSH Zugang kann aus seinem Home Ordner raus ...

  • Hallo,


    ich bin mir nicht sicher ob das "Problem" bekannt ist, aber man kann wenn die Funktion "SSH-Zugriff" auf "ja (bash)" steht und man sich via SSH Einloggt, via "cd .." Ordner zurück springen bzw. komplett raus springen und auf dem ganzen Server rum gucken. Man hat zwar keine Berechtigung etwas zu erstellen, aber man kann sich alles angucken!

  • Das ist KEIN Sicherheitsproblem, sondern das ist eben SSH.
    Die "Lösung" wäre eine chroot-Umgebung, die Sie unabhängig von LiveConfig selbstverständlich einrichten können. Problematisch daran ist aber, diese chroot-Jails auch entsprechend zu pflegen.
    Wenn auf einem Server mit 50 Kunden 3 verschiedene PHP-Versionen installiert sind und per CLI verfügbar sein sollen, dann wäre alleine PHP somit effektiv 150x auf dem Server installiert...


    Alle von LiveConfig erzeugten Dateien werden mit solchen Berechtigungen angelegt, dass normale Benutzer diese nicht lesen dürfen.

  • Hallo zusammen,


    das ist mir auch gerade aufgestoßen.


    Um eine aktuelle Contao 4 Version installieren und nutzen zu können ist ein Shell-Zugang erforderlich, damit Composer-Befehle ausgeführt werden können.


    Jetzt habe ich mal testweise meinem eigenen Web-Benutzer SSH freigeschaltet... und kann mich komplett frei im System bewegen:



    Das ist nicht zwingend ein Sicherheitsproblem, kann aber eines werden. Und ggf. auch ein Datenschutzrechtliches.


    Ich kann mir nicht vorstellen, dass ein SSH-Benutzer bei z.B. Strato sich frei auf dem Server bewegen kann.


    Gruß


    Klaus

  • Wie Herr Keppler schon schrieb, das ist eben SSH und hat auch nichts mit LC zu tun.
    Ich gebe Web-Usern grundsätzlich keinen SSH-Zugang frei - eben auch aus dem benannten Grund.
    Sollte es sich erforderlich machen, doch etwas per SSH an diesem oder jenen Account zu "feilen" - selbst ist der Mann.


    Bei z.Bsp. Strato bekommt man als "Normalo-Webspace-Nutzer" keinen SSH. Auch nicht bei anderen Hostern, was aber hier ja gar nicht zur Debatte steht.


    Hier geht es ja lediglich um die "Eigenart" von SSH - und nicht um LC!

  • Das Problem ist das Frameworks wie Laravel mit denen man ohne Konsole kaum vernünftig arbeiten kann diese eben nötig machen.


    Die Frage ist ob Distris wie cloudlinux einem das leben einfacher machen würden und ob diese mit LC zusammenarbeiten würden(die frage gabs hier auch shconmal (unbeantwortet natürlich))

  • Jetzt habe ich mal testweise meinem eigenen Web-Benutzer SSH freigeschaltet... und kann mich komplett frei im System bewegen:


    Wenn man

    • Berechtigung für CGI
    • PHP ohne open_basedir
    • PHP ohne Verbot von "exec" etc.


    hat, dann kann man sich ebenso "frei" auf dem Server bewegen.


    Sicherheit erreicht man nur dadurch, alle Berechtigungen korrekt zu halten. Und LiveConfig kümmert sich genau darum - zumindest was alle durch LiveConfig erzeugten Dateien betrifft.


    Ich sehe auch kein Datenschutz-technisches Problem, da ein SSH-Benutzer auf einem LC-System die dort gehosteten Domainnamen, E-Mail-Adressen, Webspace- oder E-Mail-Daten etc. selbstverständlich nicht einsehen kann.

  • ..einem das leben einfacher machen würden und ob diese mit LC zusammenarbeiten würden(die frage gabs hier auch shconmal (unbeantwortet natürlich))


    Entschuldigung - so langsam wird es ( das ist meine persönliche Meinung! ) unverschämt.


    Mogwais - echt nur noch "klick, klick.... fertig" ? Und dafür soll LC sorgen ?


    Und IHR nennt Euch Serveradmin´s ?



    Ich habe echt Angst vor der Zukunft.

  • Entschuldigung - so langsam wird es ( das ist meine persönliche Meinung! ) unverschämt.
    Und IHR nennt Euch Serveradmin´s ?


    Ich habe echt Angst vor der Zukunft.


    Was heist hier unverschämt???
    Das ist doch wohl nicht dein ernst... Milchgebene Kühe sollte man auch ordentlich füttern ;)

  • Entschuldigung - so langsam wird es ( das ist meine persönliche Meinung! ) unverschämt.


    Unverschämt? WTF


    Das sind Wünsche, ich kann mir wünschen was ich will(ob ich alles kriege was ich will ist natürlich ne ganz andere Sache). Und da ich LC nicht geschenkt kriege ist das weit entfernt von unverschämt.







    Mogwais - echt nur noch "klick, klick.... fertig" ? Und dafür soll LC sorgen ?


    Und IHR nennt Euch Serveradmin´s ?


    Ähm ja? Serveradmins sind per Default einfach Faul. Und selbst wenn wir das nicht wären würde ich eine Software die alles absichert eher begrüßen als Frickellösungen von Anfängern.



    Ich habe echt Angst vor der Zukunft.


    Inwiefern Angst vor der Zukunft? Angst das du wegrationalisiert wirst weil die Software fast alles abdeckt? Joa kann passieren. Aber sicher nicht mit LC dazu geht die Weiterentwicklung zu träge vorran ;)

  • LC übernimmt die Benutzerverwaltung und zum Teil auch die Systemkonfiguration.


    Dann ist es wohl nicht zuviel verlangt, dass wenn die Software ein Feature anbietet, der entsprechende Dienst auch abgesichert wird.


    Im Handbuch finde ich keinen Hinweis dazu.


    Doch bei, der Strato gibt es bei Profi-Paketen sehr wohl SSH- Zugang, und bei einem Webinar für Contao habe ich erst letztens wieder gelernt, dass SSH-Zugang heute auch bei Shared-Hosting zum guten Ton gehört. Manche Frameworks können ohne gar nicht benutzt werden.


    Wie gesagt, ich kann mir nicht vorstellen, dass ein SSH-Zugang bei den großen Anbietern nicht auf den Kundenordner begrenzt ist. Lasse mich aber gerne eines Anderen belehren.


    LC wird als Software zur Serververwaltung verkauft

    Zitat


    LiveConfig ist eine völlig neuartige Software zur Verwaltung von Servern. LiveConfig ist ein "minimal-invasives" Control-Panel, welches automatisch die eingesetzte Distribution erkennt und deren bereitgestellte Programmpakete konfiguriert.


    und bestimmt nicht nur von gelernten Admins eingesetzt.

  • Dort ist das ganze auch dokumentiert und stimmt mit dem was kk geschrieben hat überein: Klick


    *sign*


    Chroots erzeugen mehr Aufwand und größere Probleme, als sie letztendlich nützen.


    Zumal, wie Herr Keppler schon schrieb, man über PHP/Python/CGI sowieso genau das auch ausführen kann, was man über SSH machen könnte.
    "Einsperren" mag über open_basedir und den safe_mode mit PHP 5.x noch funktionieren, wird mit PHP7 aber schwer und mit Python gar unmöglich.


    Ganz abgesehen davon, dass open_basedir von PHP zwar einen Call von fopen() oder file_get_contents() verifiziert. Den identischen Aufruf von "system('cat ...');" hingegen nicht.


    Warum also den Benutzer bei SSH künstlich einschränken und den Aufwand bei der Pflege erhöhen, gleichzeitig aber die Webserver-Umgebung weiterhin "offen" lassen?


  • dem stimme ich komplett zu, ich hatte mal die idee das jailkit zu modifizieren um ssh user einzusperren den webserver aber normal weiter laufen zu lassen


    hatte damit auch angefangen https://github.com/Stricted/jailkit


    habe die ganze idee am ende aber wieder verwofen weil es ein viel zu großer aufwand ist das ganze zu pflegen
    zudem kommen die oben angesprochenen probleme mit den php funktionen exec/shell_exec/system

  • Ich werde mich zu den Postings nicht äußern und auch aus allen weiteren Diskussionen über LC raushalten.


    Ebensowenig gibt es ab sofort auch keine "von Anfängern zusammen gefrickelten" Lösungen mehr ( ich weiß aber, dass es tausendfach genutzt wird!!!).


    Thema bitte schließen!.

  • Sven_67


    Sorry wenn das so rüberkam als wenn du gemeint wärst.
    Das war auf niemanden Speziell bezogen eher auf die tausendfachen: "Es sind gerade wieder Ferien und ich biete mal Webhosting an" Posts die es Turnusmäßig im Netz gibt.


    Und mal ehrlich: Lösungen die von tausenden benutzt und demzufolge auch durchleuchtet werden traue ich auch wesentlich mehr als dem was ich so zusammenschreibe. Deswegen würde ich fertige Lösungen bevorzugen. Aber leider scheint das ja generell nicht so trivial zu sein wie man an dem Thread sieht.

  • Mogwais - es kam so rüber, wie es eben geschrieben wurde.
    Da ich grundsätzlich wirklich ALLES lese - habe ich das sicher nicht falsch verstanden.
    Nur meine Konsequenzen daraus gezogen - denn ich bin keine Kuh, die man füttert.


    Nein, das habe ich eben so nicht gemeint. Wenn dann liegt das Versäumnis auf meiner Seite da ich das nicht klar kommuniziert habe. Ich bezog mich wirklich auf die Zigtausend Kinder die zu Beginn jeder Ferien aus den Löchern gekrochen kommen um mal Webhosting anzubieten. Da habe ich schon viel zu viele Gruslige Sachen erlebt als das ich da nicht irgendwelche fertigen Lösungen gut finden würde die zumindest den gröbsten Mist verhindert.
    Das du hier Scripte angeboten hast hatte ich da nicht wirklich im Hinterkopf und da ich sie nicht gesehen habe würde ich mir nicht das Recht rausnehmen das zu beurteilen(aber wenn ich raten sollte dann würde ich darauf tippen das sie besser sind als das was ich manchmal verbreche).

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!