Posts by biologist
-
-
Mir ist das durchaus bewusst, ich hab das mehr zu Dokumentationszwecken reingeschrieben. Die Binärfiles zu kopieren kann man schon machen, aber es ist schon ein Stück weit dreckig. Speziell für die Leute, die der Anweisung sonst einfach im guten Glauben gefolgt wären, ist es durchaus wissenswert, dass es hier auch was zu beachten gibt. Da kann es schnell mal zu Inkonsistenzen kommen, die man anschließend auch wieder reparieren muss.
Wie auch immer: danke im Sinne Aller für die Anleitung
-
Durch Sicherung von /var hast du alle Mails, Datenbanken und alle Dateien der VHOSTS deiner Kunden gesichert.
Datenbanken allerdings nicht notwendigerweise konsistent, da sich ggf. noch einiges an Daten im RAM befinden kann. -
/etc/imscp/apache/skel
-
Also das halte ich jetzt für arg konstruiert. Es braucht auch nur ein schlechtes root-PWD und schon kann sich jeder als root einloggen
- passthru ist bei mir deaktiviert (bei imscp soweit ich weiß auch per default), Gleiches gilt für system() exec() & Co
- imagemagick kann man übrigens auch als PHP-Extension einbinden@Ninos:
Zu 1) Also das ist wirklich Mindestvoraussetzung Aber wie gesagt: die Möglichkeiten sind dann die Gleichen wie auch in der Shell.
Also Fakt ist: wenn du das *sicher* machen willst, musst du die Möglichkeiten extrem einschränken und dann ist es halt auch kein wirklicher CJ mehr. Was man meines Erachtens gefahrenlos machen kann: biete den Usern eine Möglichkeit eine (lokale!) URL anzugeben, die zu (vom User) definierten Zeitpunkten aufgerufen wird. Darüber könnten quasi Autotrigger für PHP-Scripts realisiert werden, die sowas machen wie: erstelle ein Backup der DB und kopiere es in Verzeichnis xyz. Ist dann aber für mich kein CJ, sondern ein Trigger für Dinge, die man jederzeit auch von extern ausführen könnte. -
Zu dem Thema Sicherheit, hier hab ich jetzt noch nicht verstanden wo es "unsicher" sein soll ?
Ob jetzt ein Script zu einer bestimmten Uhrzeit angestoßen wird, oder das Script manuell durch einen Besuch einer bestimmte Seite passiert ist doch völlig egal.
Der CronJob muss als vu2xxx User laufen, damit hat der Kunde die gleichen Rechte wie sonst auch.
Das siehst du falsch. Wenn ich etwas per CJ ausführe, dann ist das eine CLI-Ausführung und dafür braucht es im Gegenzug wieder eine eigene php.ini. Dazu kommt, dass ein CJ ja keinesfalls auf .php beschränkt ist. Es können auch Shell/Perl/Python und sonstige Scripte ausgeführt werden. Und diese sind, zumindest auf meinem Webserver, keineswegs per Webaufruf triggerbar. Insofern kannst du dem Benutzer, dem du CJs gewähren willst, auch einfach einen SSH-Zugang (ohne chroot) auf deinem Server geben. Sicherheitstechnisch kommts aufs Gleiche raus - lediglich ne GUI gibts da halt nicht. -
Ja das wäre eine "Zwischenlösung" - die Idee kam mir vorhin auch noch
-
Hmm, ich hoste schon seit 10 Jahren und käme nicht auf die Idee, sowas anzubieten. Wer sowas braucht, der kann sich bei mir bei Bedarf melden und dann trage ich es manuell ein. Sowas hatte ich in der Vergangenheit nur für Fetchmail. Wem das nicht passt, der geht halt woanders hin. Außer streng vordefinierte CJ anzubieten wüsste ich ad hoc nicht, wie man SICHER die Komplexität absichern sollte, die einem CJ bieten.
Aber gut, musst du wissen. Scheint dir auf jeden Fall klar zu sein, dass du damit ein Scheunentor in deinen Server reißt.
-
Dieser Ruf wird hier ja öfter mal laut. Die Beweggründe kann ich nachvollziehen, aber ist dir/euch eigentlich klar, dass ein ungefilterter CJ-Zugang in etwa das Gleiche bedeutet wie ein SSH-Zugang ohne Chroot?
-
Spontan stellt sich für mich die Frage, wofür du imscp brauchst, wenn da keine Domains angelegt werden. imscp ist dafür gedacht, die Administration mehrerer/vieler Domains zu erledigen/vereinfachen. Wenn du die nicht hast, kannst du dir das sparen.
Generell kostet eine .de-Domain keine 10€ pro Jahr - also das ist wirklich falscher Geiz an sowas zu sparen...
