Linuchs: Ordner auf Web-Server für Partner zugänglich machen

problematische Seite

Moin,

auf meinem Web-Space bei hosting.de habe ich mehrere Domains:

hosting

Ein Gastronom in Sri Lanka möchte seine Seite gerne selbst gestalten (lassen) und ich bin froh, diese Aufgabe los zu werden.

Besteht die Möglichkeit, einen FTP-Zugang einzurichten für http://lankatours.org/shanthibeachresort/, also Zugriff nur auf diesen Ordner und seine Unter-Ordner?

Wenn ja, wie?

Gruß, Linuchs

  1. problematische Seite

    Hej Linuchs,

    Besteht die Möglichkeit, einen FTP-Zugang einzurichten für http://lankatours.org/shanthibeachresort/, also Zugriff nur auf diesen Ordner und seine Unter-Ordner?

    Wenn ja, wie?

    Richte einen FTP-Zugang (bessert SFTP) für einen neuen Nutzer an. Dabei kannst du den Zielordner angeben. Der Nutzer kann dann nur innerhalb dieses Ordners arbeiten

    Marc (marctrix)

    --
    Ceterum censeo Google esse delendam
    1. problematische Seite

      danke, muss mal schauen, ob ich Benutzer anlegen kann.

      Melde mich wieder.

      1. problematische Seite

        Lieber Linuchs, liebe Wissende, liebe Neugierige,

        danke, muss mal schauen, ob ich Benutzer anlegen kann.

        Bitte beachte immer alle parallelen Zugriffsebenen.

        Jeder Server, Skripteditoren und Shells ((s)FTP(s), SSH, PHP, Perl, Samba, ...) verfügen eventuell parallel über eigene Rechte, die nicht unbedingt harmonisiert sein müssen. Durch unterschiedliche Zugehörigkeit zu Hauptgruppenn und Supplemental Groups und eventuell parallel existierende ACLs kann das Ganze unüberschaubar werden.

        Man hat zwar versucht, das durch PAM und LDAP aufzuarbeiten, aber leider kam am Markt nicht mehr dabei heraus, als WINDOWS. NOVELL konnte sowas früher schon mit seinen Novell Directory Services, aber das war damals wohl noch zu teuer, was dann zum Verramsch der Techniken in den Windows Active Directory Services geführt hat. Die wurden dann erst Schritt für Schritt extrem teuer für die Firmen.

        Es ist daher auch meiner Meinung nach für Dich sicherer, für deine Mitwirkenden (Syndication?) ein gemeinsames, domainübergreifendes CMS aufzubauen, dessen Rechte Du immer voll im Blick behalten kannst.

        Spirituelle Grüße
        Euer Robert

        --
        Möge der Forumsgeist ewig leben!
        1. problematische Seite

          Hej robertroth,

          Jeder Server, Skripteditoren und Shells ((s)FTP(s), SSH, PHP, Perl, Samba, ...) verfügen eventuell parallel über eigene Rechte, die nicht unbedingt harmonisiert sein müssen. Durch unterschiedliche Zugehörigkeit zu Hauptgruppenn und Supplemental Groups und eventuell parallel existierende ACLs kann das Ganze unüberschaubar werden.

          Heißt das, wenn ich einen SFTP-Zugang einrichte und den auf ein Verzeichnis beschränke, kann der Nutzer auch auf andere Verzeichnisse (oberhalb) zugreifen?

          Marc (marctrix)

          --
          Ceterum censeo Google esse delendam
          1. problematische Seite

            Hallo Marc,

            Jeder Server, Skripteditoren und Shells ((s)FTP(s), SSH, PHP, Perl, Samba, ...) verfügen eventuell parallel über eigene Rechte, die nicht unbedingt harmonisiert sein müssen. Durch unterschiedliche Zugehörigkeit zu Hauptgruppenn und Supplemental Groups und eventuell parallel existierende ACLs kann das Ganze unüberschaubar werden.

            Heißt das, wenn ich einen SFTP-Zugang einrichte und den auf ein Verzeichnis beschränke, kann der Nutzer auch auf andere Verzeichnisse (oberhalb) zugreifen?

            Möglicherweise ja, bisher ist mir noch kein Hoster über den Weg gelaufen, der das ordentlich gelöst hat. Das ist meist eine trügerische Schein-Sicherheit.

            Vielleicht verbietet das der FTP-Server, aber für ein hochgeladenes PHP-Skript (o.ä.) muss das nicht gelten. Der von mir präferierte Webhoster schreibt dazu:

            Häufig werden User beim FTP-Zugriff eingesperrt (weil viele FTP-Server hierfür triviale Möglichkeiten bieten, ohne eine echte chroot-Umgebung aufzusetzen), aber lädt man darüber dann ein CGI-Script hoch - unterliegt das in seiner Ausführung dann häufig wiederum keinen Beschränkungen.

            Gruß
            Julius

            1. problematische Seite

              Hej Julius,

              Heißt das, wenn ich einen SFTP-Zugang einrichte und den auf ein Verzeichnis beschränke, kann der Nutzer auch auf andere Verzeichnisse (oberhalb) zugreifen?

              Vielleicht verbietet das der FTP-Server, aber für ein hochgeladenes PHP-Skript (o.ä.) muss das nicht gelten. Der von mir präferierte Webhoster schreibt dazu:

              Häufig werden User beim FTP-Zugriff eingesperrt (weil viele FTP-Server hierfür triviale Möglichkeiten bieten, ohne eine echte chroot-Umgebung aufzusetzen), aber lädt man darüber dann ein CGI-Script hoch - unterliegt das in seiner Ausführung dann häufig wiederum keinen Beschränkungen.

              Ich hatte doch extra ein "S" gekauft… - SFTP ist doch kein FTP…

              Daher die Frage: ist das bei SFTP auch so?

              Aber nur aus Interesse: die hier bereits genannte Lösung mit einem eigenständigen Webspace ist auch meiner Meinung nach der bessere Weg!

              Marc (marctrix)

              --
              Ceterum censeo Google esse delendam
              1. problematische Seite

                Moin Marc!

                Häufig werden User beim FTP-Zugriff eingesperrt (weil viele FTP-Server hierfür triviale Möglichkeiten bieten, ohne eine echte chroot-Umgebung aufzusetzen), aber lädt man darüber dann ein CGI-Script hoch - unterliegt das in seiner Ausführung dann häufig wiederum keinen Beschränkungen.

                Ich hatte doch extra ein "S" gekauft… - SFTP ist doch kein FTP…

                Daher die Frage: ist das bei SFTP auch so?

                Damit alle wissen, um was es geht: SSH File Transfer Protocol (SFTP)

                Prinzipiell geht chroot wohl auch in vielen openssh-Installationen:

                aber sobald hochgeladene Skripte aus einem anderen Kontext heraus gestartet werden, ist eben der Kontext „sshfs“ und damit das chroot weg.

                Damit gilt: „lädt man darüber dann ein CGI-Script hoch - unterliegt das in seiner Ausführung dann häufig wiederum keinen Beschränkungen“ ganz klar auch für sftp.

                1. problematische Seite

                  Hej Raketensicherheitsinspektor,

                  Damit gilt: „lädt man darüber dann ein CGI-Script hoch - unterliegt das in seiner Ausführung dann häufig wiederum keinen Beschränkungen“ ganz klar auch für sftp.

                  Merci!

                  Marc (marctrix)

                  --
                  Ceterum censeo Google esse delendam
    2. problematische Seite

      Hallo Marc,

      Besteht die Möglichkeit, einen FTP-Zugang einzurichten für http://lankatours.org/shanthibeachresort/, also Zugriff nur auf diesen Ordner und seine Unter-Ordner?

      Wenn ja, wie?

      Richte einen FTP-Zugang (bessert SFTP) für einen neuen Nutzer an. Dabei kannst du den Zielordner angeben. Der Nutzer kann dann nur innerhalb dieses Ordners arbeiten

      Dein Rat ist unvollständig und daher gefährlich!

      • Was ist mit PHP- und CGI-Scripten?
      • Gibt es ein Jail (chroot-Umgebung)?

      @Linuchs:
      Bau lieber ein Editorentool in dein CMS ein, das Edits und Uploads vollständig kontrolliert, bevor sie aus einer Quarantäne in einen aktiven Bereich überführt werden.

      CU
      Mr. Safety

      1. problematische Seite

        Hej Mr.,

        Hallo Marc,

        Besteht die Möglichkeit, einen FTP-Zugang einzurichten für http://lankatours.org/shanthibeachresort/, also Zugriff nur auf diesen Ordner und seine Unter-Ordner?

        Wenn ja, wie?

        Richte einen FTP-Zugang (bessert SFTP) für einen neuen Nutzer an. Dabei kannst du den Zielordner angeben. Der Nutzer kann dann nur innerhalb dieses Ordners arbeiten

        Dein Rat ist unvollständig und daher gefährlich!

        Gerade dann wäre ein Erklärung hilfreich.

        @Linuchs:
        Bau lieber ein Editorentool in dein CMS ein, das Edits und Uploads vollständig kontrolliert, bevor sie aus einer Quarantäne in einen aktiven Bereich überführt werden.

        Ein eigenes Rechtemanagement mal eben selber zu entwickeln soll weniger gefährlich sein, als ein SSH-Zugang auf einen bestimmten Ordner?

        Scheint mir doch eine anspruchsvolle Aufgabe zu sein.

        Marc (marctrix)

        --
        Ceterum censeo Google esse delendam
        1. problematische Seite

          Hallo Marc,

          ein Subsystem aufzubauen, ist imho sicherer, als ein Parallelsystem freizugeben.

          Grüße
          Mr. Safety

        2. problematische Seite

          Hallo Marc,

          @Linuchs:
          Bau lieber ein Editorentool in dein CMS ein, das Edits und Uploads vollständig kontrolliert, bevor sie aus einer Quarantäne in einen aktiven Bereich überführt werden.

          Ein eigenes Rechtemanagement mal eben selber zu entwickeln soll weniger gefährlich sein, als ein SSH-Zugang auf einen bestimmten Ordner?

          SSH ist etwas anderes als FTP bzw. FTPS, SFTP basiert auf SSH.

          Die meisten Webhosting-Anbieter suggerieren meiner Erfahrung nach eine Trennung, die faktisch nicht vorhanden ist. So lange die Rechte bei Dateizugriff nicht auf Systemebene (Dateiberechtigungen und verschiedene Nutzer) gehandhabt werden (Linuchs hat einen anderen Benutzer-Account als sein Kunde und beide dürfen jeweils nur in ihren Dateien rumpfuschen), ist das löcherig.
          Gute™️ Webhoster erklären diese Löchrigkeit oder bieten solche seltsamen Funktionen, mit dem sich ein Nutzer ganz leicht selbst in den Fuß schießen kann, ganz einfach nicht an.

          Scheint mir doch eine anspruchsvolle Aufgabe zu sein.

          Ist es auch und vor allem Zeitfressend, das will man sich nicht unbedingt ans Bein binden. Deshalb plädiere ich eher dafür, die Webspaces sauber zu trennen. Einfach und sicher.

          Vermutlich ist eh Zugriff auf die unterste Ebene (HTML, CSS) gefordert, das lese ich bei Linuchs so zwischen den Zeilen heraus, da reicht ein solches CMS nicht. Da will jemand komplette Kontrolle über seinen Webspace, so verstehe ich das.

          Gruß
          Julius

          1. problematische Seite

            Hej Julius,

            SSH ist etwas anderes als FTP bzw. FTPS, SFTP basiert auf SSH.

            Darum hatte ich SFTP empfohlen (gut war vielleicht ein bisschen knapp, das FTP kam von Linuchs):

            Richte einen FTP-Zugang (besser SFTP) für einen neuen Nutzer an

            Marc (marctrix)

            --
            Ceterum censeo Google esse delendam
  2. problematische Seite

    Lieber Linuchs,

    warum fragst Du das hier und nicht direkt Deinen Hostingdienstleister? Oder betreibst Du einen V-Server und bist selbst dafür verantwortlich?

    Liebe Grüße

    Felix Riesterer

    1. problematische Seite

      Lieber Felix,

      warum fragst Du das hier und nicht direkt Deinen Hostingdienstleister?

      Klare Antwort: Weil hier der Service schneller und kompetenter ist (schleim). Außerdem dachte ich, es gäbe vielleicht eine Standard-Lösung, die ich selbst „im Griff“ hätte.

      bist selbst dafür verantwortlich?

      In diesem Fall nicht.

      Gruß, Linuchs

      1. problematische Seite

        Hallo Linuchs,

        warum fragst Du das hier und nicht direkt Deinen Hostingdienstleister?

        Klare Antwort: Weil hier der Service schneller und kompetenter ist (schleim). Außerdem dachte ich, es gäbe vielleicht eine Standard-Lösung, die ich selbst „im Griff“ hätte.

        Die Standard-Lösung wäre, das auf einen separaten Webspace umzuziehen, auf den der betreffende Kunde Zugriff hat und alles kontrolliert. Wie das im Rahmen der Möglichkeiten konkret aussehen soll, musst du mit deinem Hoster und dem Kunden ausbaldowern.

        Alternativ gibt es bestimmt Reseller-Accounts, die es dir ermöglichen, Kontrolle über einzelne Teilprojekte zu delegieren und auch die Rechte technisch zu trennen (das ist bei einzelnen FTP-Accounts i.d.R. nicht gegeben). Mein Hoster ermuntert beispielsweise seine Kunden beispielsweise dazu, sich aus Sicherheitsgründen separate Accounts für verschiedene Dienste anzulegen. Gerade wenn darauf verschiedene Personenkreise Zugriff haben sollen, ist das ratsam.

        Gruß
        Julius

    2. problematische Seite

      Lieber Fekix,
      liebe Mitdenker,
      liebe Wissende,
      liebe Neugierige,

      warum fragst Du das hier und nicht direkt Deinen Hostingdienstleister? Oder betreibst Du einen V-Server und bist selbst dafür verantwortlich?

      Warum soll er hier nicht fragen, um das notwendige Hintergrundwissen zu erfragen?

      Nur, weil Du eventuell keine Ahnung vom Thema hast oder keine Lust, gibt es doch bestimmt Andere mit Erfahrungen, die gerne bereit sind, diese zu teilen?!

      Spirituelle Grüße
      Euer Robert

      --
      Möge der Forumsgeist ewig leben!
      1. problematische Seite

        Hallo Robert,

        warum fragst Du das hier und nicht direkt Deinen Hostingdienstleister? Oder betreibst Du einen V-Server und bist selbst dafür verantwortlich?

        Warum soll er hier nicht fragen, um das notwendige Hintergrundwissen zu erfragen?

        Linuchs hat konkret nach dem wie gefragt. Da das von Hoster zu Hoster unterschiedlich ist, finde ich die Gegenfrage von Felix durchaus sinnvoll, wenn auch ein bisschen provokativ.

        Du hast in der Frage aber auch das unausgesprochene ob überhaupt gelesen und daraus die Konsequenz gezogen, ihm von diesem Ansatz abzuraten. Völlig okay und vielleicht angebracht.

        Nur, weil Du eventuell keine Ahnung vom Thema hast oder keine Lust, gibt es doch bestimmt Andere mit Erfahrungen, die gerne bereit sind, diese zu teilen?!

        Das war jetzt aber auch nicht gerade die feine Art ...

        Live long and pros healthy,
         Martin

        --
        Home is where my beer is.
        1. problematische Seite

          Hallo

          warum fragst Du das hier und nicht direkt Deinen Hostingdienstleister? Oder betreibst Du einen V-Server und bist selbst dafür verantwortlich?

          Warum soll er hier nicht fragen, um das notwendige Hintergrundwissen zu erfragen?

          Linuchs hat konkret nach dem wie gefragt. Da das von Hoster zu Hoster unterschiedlich ist, finde ich die Gegenfrage von Felix durchaus sinnvoll, wenn auch ein bisschen provokativ.

          Aus genau diesem Grund hatte ich Felix' Frage auch schon auf den Tasten. Sowas ist bei jedem™️ Hoster anders gelöst. Das ist eine der Fragen, die man – abseits allgemeiner Recherche, die natürlich auch hier stattfinden kann – definitiv an seinen Dienstbetreiber richten sollte.

          Ich halte die Frage allerdings in ihrer konkreten Formulierung keineswegs für provokant. Schließlich hat Felix sie mit einer legitimen Nachfrage zu einem möglicherweise relevanten Detail verbunden. Hingegen halte ich Roberts Antwort für durchaus provokant. Sein „Warum soll er hier nicht fragen …“ impliziert, dass Felix die Frage als für das Forum unpassend hält, quasi loswerden will. Dabei war bei Felix nirgends die Rede von „nicht sollen“.

          Nur, weil Du eventuell keine Ahnung vom Thema hast oder keine Lust, gibt es doch bestimmt Andere mit Erfahrungen, die gerne bereit sind, diese zu teilen?!

          Das war jetzt aber auch nicht gerade die feine Art ...

          Unter dem Aspekt, dass es hier normal ist, Nachfragen zu stellen, nur Teilaspekte einer Fragestellung zu beantworten oder zu hinterfragen und dabei von anderen auch korrigiert zu werden, war das nicht nur nicht die feine Art, sondern meiner Meinung nach unnötig.

          Tschö, Auge

          --
          Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
          Hohle Köpfe von Terry Pratchett
          1. problematische Seite

            Liebes Auge,

            vielen Dank. Das +1 ist von mir.

            Liebe Grüße

            Felix Riesterer

  3. problematische Seite

    Hallo Linuchs,

    Du könntest mal in diese Richtung recherchieren.

    Die Aufteilung eines Root-Servers in vServer kann vermutlich deine Anforderungen besser erfüllen, ohne in deinen Bereichen durch die gemeinsame Nutzung des Hosts angreifbar zu werden.

    Der Dateitransfer kann dann mit scp bzw. sftp stattfinden und die Administration der einzelnen Zellen mit ssh.

    Grüße
    Mr. Safety

    1. problematische Seite

      Du könntest mal in diese Richtung recherchieren.

      Why did i watch the whole thing?!?

    2. problematische Seite

      Hallo Linuchs,

      ... oder Du schaust Dir mal Proxmox an.

      Das ist zur Zeit wohl angesagt. Ich habe es selber aber auch noch nicht aufgesetzt, nur schon mehrfach im Einsatz gesehen.

      Scheint rund zu laufen. :-)

      Grüße
      Mr. Safety